Paljud veebimajutajad ja inimesed, kes kasutavad hostinguteenuseid, ei ole veel üksikasjalikult tegelenud õigusliku regulatsiooniga. Niipea, kui kasutatakse veebimajutaja teenuseid, võib olla vaja sõlmida kirjalik leping. See kehtib eelkõige juhul, kui BDSG § 11 nõuded on täidetud. Õigusaktides on sätestatud, et isikuandmete töötlemise allhanke puhul tuleb teatud sisu kirjalikult kokku leppida ja see kirjalikult fikseerida. Teavitame teid lepingu sisust ja selle mittetäitmise võimalikest tagajärgedest.
§ 11 BDSG - veebimajutus osaliselt võimalik ainult kirjaliku kokkuleppega
Veebimajutust pakuvad nüüd arvukad teenusepakkujad. Sageli piisab WordPressi blogi, veebisaidi või veebipoe üleslaadimiseks vaid mõnest klõpsust. Enamiku veebimajutajate teadmata, nõuab veebimajutus kirjalikku kokkulepet kasutajaga, kui tellimuse käigus töödeldakse isikuandmeid. Seda nõuab § 11 BDSG (föderaalne andmekaitseseadus). Veebimajutuse puhul pakub teenusepakkuja kasutajale salvestusruumi veebiserveris. Teenuste ulatus ulatub lihtsast ressursside pakkumisest kuni mitmekülgsete teenusteni, nagu andmete varundamine, järelevalve ja statistilised hindamised. Kui osutatavad teenused hõlmavad isikuandmete säilitamist ja töötlemist, tuleb sõlmida kirjalikud kokkulepped. See kehtib eelkõige juhul, kui tegemist on tellitud andmetöötlusega. Selle all mõistetakse andmetöötlusmenetluste allhankeid. Veebimajutaja on alati seotud kliendile antud juhistega, st tal puudub otsustus- ja hindamisruum edastatavate andmete suhtes.
§ 11 BDSG (föderaalne andmekaitseseadus) sisu
§ 11 I BDSG sätestab, et klient vastutab BDSG sätete järgimise eest. Muuhulgas peab klient tagama, et veebimajutaja järgib isikuandmete töötlemisel BDSG-d. Kui kahju tekib, peab selle kandma klient. Kulud saab veebimajutajalt sisse nõuda kahjude hüvitamise teel. § 11 II BDSG sätestab, et töövõtja (veebihosteri) peab hoolikalt valima kõik meetmed tehnilisel ja organisatsioonilisel tasandil. Seejärel märgitakse, et seaduse kohaselt on kohustuslik, et korraldus tuleb teha üksnes kirjalikult. In the Leping tuleks märkida järgmised punktid:
- Lepingu ese ja kestus
- Isikuandmete kogumise, töötlemise ja kasutamise ulatus, eesmärk ja laad
- Andmete liik ja andmesubjektide rühm
- BDSG § 9 kohaselt võetavad organisatsioonilised ja tehnilised meetmed
- Andmete blokeerimise, kustutamise ja parandamise meetmed
- Töövõtja kohustused, näiteks kontrollid (määratletud BDSG § 11 IV)
- mis tahes load alltöövõtjate palkamiseks
- Kliendi kontrolliõiguste registreerimine
- Töövõtja kohustused taluda ja teha koostööd
- Töövõtja ja tema alltöövõtjate teavitamiskohustus kaitse-eeskirjade rikkumise korral seoses järgmiste asjaoludega
isikuandmed
- Tellija volituste ulatus anda töövõtjale (veebihostrile) juhiseid.
- Andmete kustutamine pärast tellimuse täitmist ja esitatud andmekandjate tagastamine.
Avalik-õiguslike asutuste puhul võib kokkuleppele jõuda järelevalveasutusega. Järelevalveasutus peab saama teavet tehniliste ja organisatsiooniliste standardite kohta enne andmetöötluse allhanke teostamist ja jälgima neid korrapäraselt. Tulemused tuleb registreerida. § 11 BDSG sätestab, et töövõtja, st veebimajutaja, peab viivitamatult teavitama klienti, kui viimase juhised tema arvates rikuvad andmekaitseseadusi. Inimeste jaoks, kes kasutavad veebimajutusteenuseid, tekib küsimus süüst. Tellimusandmetöötluse puhul on ju peaaegu iseloomulik, et kohustus järgida seadusesätteid lasub ikkagi kasutajal, mitte veebihostril, kuigi viimane teostab isikuandmete töötlemist. Hoolduskohustus tekib juba enne tellimuse esitamist: Kasutajad on kohustatud veenduma oma tulevase veebimajutaja tehnilistes omadustes. Need hoolsuskohustused on olemas ka lepingulise suhte ajal. Kõige olulisem nõue on endiselt see, et andmetöötluse tellimus peab olema kirjalik. Kirjalik leping nõuab, et veebimajutaja ja kasutaja paneksid lepingule oma allkirja. Veebipõhise vormi või ülesande esitamine e-posti teel ei ole piisav. Lisaks peab leping sisaldama eespool nimetatud punkte (kümme nõuet), et leping vastaks BDSG § 11 nõuetele.
BDSG seoses veebimajutusega
Seda, kas veebimajutus kujutab endast andmete töötlemist tellimuse alusel vastavalt Saksamaa föderaalse andmekaitseseaduse (BDSG) paragrahvile 11 ja kas kirjalik leping on tegelikult vajalik, hinnatakse erinevalt. Mõned õigusteadlased on seisukohal, et andmete töötlemise tellimus on alati olemas, kui kasutatakse kolmanda isiku salvestusruumi ja arvuti jõudlust. Seega on veebimajutus alati tellitud andmetöötlus. Selle põhjuseks on see, et andmete füüsiline kontroll annab märkimisväärseid võimalusi andmete töötlemise mõjutamiseks. Selle seisukoha kohaselt on tellimusandmetöötlus alati olemas, kui andmetöötlussüsteeme on võimalik mõjutada. See kehtib seda enam, kui veebimajutaja võtab üle ülesanded järelevalve ja hoolduse valdkonnas. Teised õigusteadlased eeldavad, et tellimusandmetöötlusest ei ole neil juhtudel veel juttu. Kui kliendid taotlevad veebihosteri poolt salvestusruumi, siis nad lihtsalt rendivad kolmanda osapoole andmetöötlusseadmeid. Kasutaja otsustab, milliseid programme paigaldatakse ja milliseid isikuandmeid salvestatakse. Teine seisukoht eeldab, et andmete töötlemine on tellitud ainult siis, kui veebimajutaja teeb varukoopiaid ja salvestab need. Saksamaa andmekaitse järelevalveasutused eeldavad, et andmete töötlemine on tellitud, kui veebipood on veebipoe majutusasutus. Lõppude lõpuks salvestab iga veebipood isikuandmeid.
Euroopa määrused tellitud andmete töötlemise kohta
Nagu juba selgitatud, on kirjalik leping veebimajutuse kohta alati vajalik, kui veebimajutaja poolt toimub andmetöötluse tellimine. Andmekaitsedirektiiv (direktiiv 95/46/EÜ) hõlmab rühma, mida nimetatakse "volitatud töötlejateks". Euroopa Liidu sõltumatu nõuandev organ, artikli 29 alusel asutatud töörühm, kommenteeris veebimajutajate rolli: "Veebimajutajad on oma klientide poolt Internetis avaldatud isikuandmete töötlejad". Veebimajutajate jaoks on väga oluline, kas nende teenuseid peetakse andmetöötluse tellimusena. Rikkumise kaugeleulatuvad tagajärjed võivad hõlmata kriminaal- ja tsiviilõiguslikke karistusi. Veebimajutusteenuse pakkujad peaksid andma oma klientidele juurdepääsu oma andmekeskustele, kui nad töötlevad andmeid tellimustööna, et nad saaksid kujundada pildi organisatsioonilistest ja tehnilistest meetmetest. Seetõttu ei ole üllatav, et enamik veebihostereid ei pea end volitatud andmetöötlejateks BDSG paragrahvi 11 tähenduses. BDSG rikkumisi võib andmekaitse järelevalveasutus menetleda vastavalt § 43 I nr 2b koostoimes § 43 III BDSG-ga. § 43 III BDSG võib määrata rahatrahvi kuni 50 000 eurot. Küsimus, kas veebimajutus on tellitud andmetöötlus, ei ole praegu 100-protsendiliselt selge. Kuna kirjanduses leidub erinevaid arvamusi, kuid kohtud ei ole selles osas veel ühtegi otsust teinud, on veebimajutusteenuste sõlmimine potentsiaalses andmetöötluse valdkonnas praegu õiguslik hall ala. Kuna kaupluste operaatorid, kelle veebipoodi haldavad veebimajutusteenuse pakkujad, on host Kui veebimajutaja kipub olema mõjutatud tellitud andmetöötlusest, peaks ta tähelepanelikult jälgima õiguslikke arenguid. Veebimajutajad, kes tahavad olla kindlalt tegutseda, peaksid hankima lepingu näidiseid tellitud andmetöötluse kohta, et neil oleks kahtluse korral midagi ette näidata. Kui kliendid on ebakindlad, peaksid nad võtma ühendust oma veebimajutajaga ja küsima üksikjuhtudel nõu.