Dlaczego napisałem ten artykuł o hostingu?
Artykuł ten postanowiłem napisać z dwóch powodów:
- Pytanie na temat serwisów internetowych utrzymywanych na zagranicznych serwerach pojawiało się bardzo często podczas mojego webinaru „Wszystko, co powinieneś wiedzieć o GIODO”.
- Jest uzupełnieniem mojego artykułu na moim blogu o ochronie danych osobowych, w którym napisałem odpowiedź GIODO na moje pytanie o hosting poza terytorium Polski i koniecznością rejestracji bazy danych osobowych.
Stanowisko GIODO
Po złożeniu pytania na elektroniczną skrzynkę podawczą:
Czy sklep internetowy utrzymywany na hostingu zagranicznym podlega rejestracji w GIODO ?
Otrzymałem odpowiedź na piśmie (fragment odpowiedzi GIODO):
„(…) Należy uznać, że w przedstawionym przez Pana stanie faktycznym okolicznością przesądzającą o zastosowaniu przepisów polskiej ustawy o ochronie danych osobowych będzie lokalizacja siedziby spółki (terytorium RP), a nie lokalizacja serwerów wykorzystywanych przez ten podmiot (…)”
Na uwagę należy zwrócić także:
„(…) w przedstawionym przypadku spółka prowadząca sklep internetowy lub serwis jest podmiotem polskim (z siedzibą w Polsce) i w związku z tym podlegającym przepisom polskiej ustawy o ochronie danych osobowych. Podmiot taki jest m. in. zobowiązany zgłosić do rejestracji zbiór danych swoich klientów/ użytkowników Generalnemu Inspektorowi Ochrony Danych Osobowych (art. 40 ustawy), z zastosowaniem zasad wynikających z przepisów rozdziału 6 ustawy, jaki i realizować pozostałe obowiązki wynikające z powszechnie obowiązujących przepisów prawa, w tym ustawy o ochronie danych osobowych i wydanych na jej podstawie aktów wykonawczych (…)”
Całą treść znajdziesz w artykule na moim blogu.
Lokalizacja serwera o niczym nie przesądza
Należy rozumieć to następująco. Jeżeli posiadamy stały adres zameldowania w Polsce, lub też nasza firma jest zarejestrowana w naszym kraju, występuje obowiązek zgłoszenia swojej bazy do GIODO, gdyż zachodzą przesłanki z art. 40 ustawy.
Na podstawie tej informacji, można zdementować informacje często słyszane lub czytane na różnych stronach internetowych, że takiej konieczności nie ma, ponieważ serwer zagraniczny podlega pod prawo kraju, w którym się znajduje. Jednak z racji tej, że firma bądź osoba jest z Polski, przesądza o tym, iż nasze działania podlegają pod prawo polskie, a co za tym idzie – ustawę o ochronie danych osobowych.
Co należy zrobić?
W myśl ustawy powinniśmy posiadać umowę powierzenia przetwarzania danych osobowych. Czy zagraniczna firma ją podpisze? Tego jednoznacznie nie powiem, gdyż nie mam takiego doświadczenia. Sądzę jednak, że umowa taka powinna być napisana w języku zrozumiałym dla obu stron, np. angielskim, oraz przetłumaczona na język polski przez tłumacza przysięgłego, aby zadowolić naszych urzędników w przypadku chęci obejrzenia tej umowy.
Przy kontakcie z zagraniczną firmą hostingową z terenu Unii Europejskiej możemy się powołać na dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych art. 17 pkt 3 – 4. Jest tam zapis o powierzeniu przetwarzania danych osobowych oraz stosownej umowie.
Odpowiedź GIODO nie jest decyzją administracyjną
Uzasadnienie GIODO nie jest jednak decyzją administracyjną, czyli oficjalnym stanowiskiem Generalnego Inspektora w tej sprawie. Możemy jednak uznać, że gdyby odbyła się kontrola GIODO, to na podstawie tej opinii GIODO wydałby stosowną decyzję w tej sprawie, o treści podanej w odpowiedzi, którą otrzymałem.
Życzę miłego dnia i pozdrawiam,
Dodaj komentarz