FreshMail.pl

Kiedy potrzebujemy umowy powierzenia? Kilka słów o świadczeniu usług kolokacji

Kolokacja – w znaczeniu udostępnienia przestrzeni na potrzeby umieszczenia urządzeń (infrastruktury) usługobiorcy (z reguły serwerów) – jest popularną usługą wśród przedsiębiorców różnych branż. Może ona zmniejszać koszty prowadzonej działalności, powoduje jednak oddanie krytycznej infrastruktury w ręce podmiotu trzeciego. W dobie ogólnej cyfryzacji jest popularną formą zapewnienia bezpieczeństwa własnej infrastruktury IT. Przedsiębiorcy często zadają sobie pytanie, czy podczas korzystania z usługi kolokacji dochodzi do powierzenia przetwarzania danych osobowych – a w konsekwencji czy istnieje obowiązek zawarcia umowy powierzenia. Postanowiliśmy rozwiać te wątpliwości.

Przedmiot usługi kolokacji i powierzenie danych osobowych

Usługa kolokacji polega na udostępnieniu fizycznej przestrzeni spełniającej określone warunki środowiskowe (temperatura, wilgotność itp.) na potrzeby umieszczenia urządzeń (infrastruktury) usługobiorcy, wraz z zapewnieniem dostępu do przestrzeni oraz zasilania i podłączenia telekomunikacyjnego. Po stronie usługobiorcy pozostaje z reguły obsługa infrastruktury sieciowej (w szczególności zagadnienia związane z cyberbezpieczeństwem). Z istoty usługi kolokacji wynika, że świadczący ją podmiot nie ma dostępu do informacji i danych, które znajdują się w infrastrukturze lokowanej w powierzchni kolokacji (co oczywiście nie wyklucza dostępu do danych i informacji w przypadku świadczenia usług dodatkowych). Należy przy tym odróżnić ją od usług świadczonych przez operatora telekomunikacyjnego na podstawie prawa telekomunikacyjnego (w rozumieniu tej ustawy pojęcie kolokacji jest węższe).

Powierzenie danych osobowych oznacza przetwarzanie danych przez inny podmiot, lecz w imieniu i na polecenie administratora. Pojęcie przetwarzania danych osobowych zostało wprost uregulowane w art. 4 pkt 2 RODO..

Brak dostępu do danych

Brytyjski organ nadzorczy (Information Commissioner’s Officer, ICO) wskazuje, że aby podmiot mógł zostać uznany za procesora, musi w danym stanie faktycznym występować „pewien stopień dostępu do danych lub możliwość kontroli nad danymi lub skorzystania z nich” (bez naruszenia umowy o świadczenie usług). Samo fizyczne posiadanie w dyspozycji nośnika danych nie jest wystarczające do stwierdzenia stosunku powierzenia[1].

Powyższe stanowisko zostało wyrażone w kontekście usług pocztowych i kurierskich, jednak w naszej ocenie znajduje zastosowanie także wobec kolokacji. W przypadku tej usługi zleceniobiorca również może dysponować fizycznie nośnikami danych, kontroluje bowiem dostęp do data center lub innej powierzchni, na której zostały umieszone serwery (szafy, boxy itp.), ale umowa zawarta ze zleceniodawcą nie zezwala mu na jakikolwiek dostęp do tych zasobów. Uznanie, że mimo to niezbędne jest równocześnie zawarcie umowy powierzenia przetwarzania danych wynikające z faktu udostępnienia powierzchni data center, prowadziłoby do wewnętrznej sprzeczności zawieranych umów.

Nie zmienia powyższej oceny okoliczność kontrolowania przez usługodawcę dostępu do udostępnianej powierzchni. Takie działania stanowią dodatkowe zabezpieczenie oferowane przez usługodawcę, jednak ewentualne przetwarzanie danych w związku z tą usługą z reguły odbywa się we własnych celach usługodawcy i powoduje uzyskanie przez niego statusu odrębnego administratora[2].

Brak możliwości wykonywania obowiązków, określonych w art 28 RODO

Kolejnym argumentem przemawiającym przeciwko zawieraniu umów powierzenia przetwarzania danych w odniesieniu do usług kolokacji jest niemożliwość ich wykonania w praktyce. . Art. 28 RODO określa szereg obowiązków, które powinny być nałożone na procesora, wynikających z charakteru świadczonych usług.

W przypadku usługi kolokacji istotna część tych obowiązków nie miałaby praktycznego zastosowania (np. nie ma możliwości, by podmiot świadczący usługi kolokacji wspierał swojego klienta w realizacji praw podmiotów danych). Podobna ocena dotyczy obowiązku usunięcia lub zwrotu przetwarzanych danych – dostawca usługi kolokacji nie mógłby zobowiązać się do usunięcia lub zwrotu danych, ponieważ na żadnym etapie umowy nimi nie dysponuje. Może jedynie zobowiązać się do zwrotu powierzonego mu sprzętu.

Konieczność zapewnienia odpowiednich środków bezpieczeństwa

Brak konieczności zawarcia umowy powierzenia z punktu widzenia zleceniodawcy nie oznacza równocześnie braku obowiązków związanych z zapewnieniem poufności danych przetwarzanych na serwerach w wynajętym data center. Obowiązki te obciążają jednak wyłącznie administratora. W szczególności administrator może zobowiązać usługodawcę do wprowadzenia określonych systemów kontroli dostępu.

Wypada jednak podkreślić, że obowiązki odpowiedniego zabezpieczenia po stronie dostawcy usługi kolokacji nie wynikają z przepisów RODO (art. 32 RODO). Ich źródłem będzie natomiast umowa zawarta z klientem – jej postanowienia będą elementem technicznych środków zabezpieczeń w odniesieniu do danych osobowych przetwarzanych przez klienta.

Zakończenie

Świadczenie usługi kolokacji nie wiąże się z dostępem do danych osobowych przetwarzanych przez świadczącego usługę. Usługodawca nie dokonuje operacji na danych osobowych przetwarzanych przez zlecającego usługę. Wynika to z istoty usługi kolokacji, która bliższa jest najmowi niż hostingowi.

Dodatkiem do usługi kolokacji mogą być inne usługi, takie jak hosting lub usługa backupu. Równoległe ich świadczenie przez przedsiębiorcę realizującego usługę kolokacji może się wiązać z koniecznością zawarcia umowy powierzenia i każdorazowo powinno podlegać ocenie – z uwzględnieniem opisanych przez nas kryteriów. Ale to już temat na zupełnie inny artykuł.

 

[1] Tak ICO w kontekście usług pocztowych: https://ico.org.uk/media/for-organisations/documents/1546/data-controllers-and-data-processors-dp-guidance.pdf [dostęp 14/03/2019]

[2] Por. https://www.lexology.com/library/detail.aspx?g=4941d5af-3913-4cb3-aac6-a2de87b259b2 [dostęp 12/03/2019]

Tagi:

Podoba Ci się ten artykuł?
Nawiąż z nami kontakt lub zapisz się do Newslettera



Jesteś u nas już chwilę, co bardzo nas cieszy.
A może chcesz być na bieżąco i czasami dostawać informacje o nowościach na stronie?
Obiecujemy nie spamować :)

Uzupełnienie powyższego pola oznacza zgodę na otrzymywanie od Maruta Wachta sp.j., z siedzibą w Warszawie (00-684) przy ul. Wspólnej 62, (Kancelaria) informacji dotyczących oferty Kancelarii drogą e-mailową. Zgodę można wycofać w każdym czasie bez wpływu na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Administratorem danych osobowych jest Kancelaria. Dane osobowe osób zapisujących się na newsletter są przetwarzane w celu przesyłania informacji dotyczących oferty Kancelarii drogą e-mailową. Więcej informacji o przetwarzaniu danych osobowych, w tym o przysługujących Państwu prawach, znajduje się w naszej Polityce Prywatności.

FreshMail.pl