Számos webtárhely és tárhelyszolgáltatást igénybe vevő személy még nem foglalkozott részletesen a jogi szabályozással. Amint egy webtárhely szolgáltatásait igénybe veszik, szükség lehet egy írásbeli megállapodás megkötésére. Ez különösen akkor igaz, ha a BDSG 11. §-ában foglalt követelmények teljesülnek. A jogi szabályozás kimondja, hogy a személyes adatok feldolgozásának kiszervezésekor bizonyos tartalmakat írásban kell egyeztetni és rögzíteni. Tájékoztatjuk Önt a megállapodás tartalmáról és a megállapodás be nem tartásának lehetséges következményeiről.
§ 11 BDSG - Webhosting részben csak írásbeli megállapodással lehetséges
A webtárhelyeket ma már számos szolgáltató kínálja. Gyakran elég néhány kattintás egy WordPress blog, egy weboldal vagy egy webáruház feltöltéséhez. A legtöbb tárhelyszolgáltató számára ismeretlen, hogy a webtárhelyeken írásbeli megállapodást kell kötni a felhasználóval, ha a megrendelés során személyes adatok feldolgozására kerül sor. Ezt a BDSG (szövetségi adatvédelmi törvény) 11. §-a írja elő. A webtárhely-szolgáltatással a felhasználónak a szolgáltató tárhelyet biztosít egy webszerveren. A szolgáltatások köre az erőforrások egyszerű rendelkezésre bocsátásától az olyan sokoldalú szolgáltatásokig terjed, mint az adatmentés, a monitoring és a statisztikai értékelések. Ha a nyújtott szolgáltatások személyes adatok tárolásával és feldolgozásával járnak, írásbeli megállapodást kell kötni. Ez különösen akkor érvényes, ha megbízásos adatfeldolgozásról van szó. Ez alatt az adatfeldolgozási eljárások kiszervezését kell érteni. A tárhelyszolgáltatót az ügyféllel szemben mindig kötik az utasítások, azaz nincs döntési vagy értékelési mozgástere a továbbított adatokkal kapcsolatban.
A BDSG 11. § (Szövetségi adatvédelmi törvény) tartalma
§ A BDSG 11. § I. szakasza kimondja, hogy az ügyfél felelős a BDSG rendelkezéseinek betartásáért. Az ügyfélnek többek között biztosítania kell, hogy a webtárhely a személyes adatok feldolgozása során megfeleljen a BDSG-nek. Ha bármilyen kár keletkezik, azt az ügyfélnek kell viselnie. A költségeket a tárhelyszolgáltatótól kártérítés címén lehet behajtani. § A BDSG 11. II. szakasza kimondja, hogy a vállalkozónak (a webtárhelynek) gondosan ki kell választania minden technikai és szervezési szintű intézkedést. Ezt követően megállapítja, hogy a törvény kötelezővé teszi, hogy a megrendelés kizárólag írásban történjen. A Szerződés a következő pontokat kell megjegyezni:
- A szerződés tárgya és időtartama
- A személyes adatok gyűjtésének, feldolgozásának és felhasználásának terjedelme, célja és jellege
- Az adatok típusa és az érintettek csoportja
- A BDSG 9. §-ának megfelelően meghozandó szervezési és technikai intézkedések
- Az adatok zárolására, törlésére és helyesbítésére irányuló intézkedések
- A vállalkozó kötelezettségei, például az ellenőrzések (a BDSG 11. § IV. bekezdésében meghatározottak szerint).
- Alvállalkozók alkalmazására vonatkozó engedélyek
- Az ügyfél ellenőrzési jogainak rögzítése
- A vállalkozó tűrési és együttműködési kötelezettségei
- A vállalkozó és alvállalkozóinak értesítési kötelezettségei a védelmi előírások megsértése esetén a következők tekintetében
személyes adatok
- A Megrendelőnek a Vállalkozó (webtárhely) részére történő utasítási jogkörének terjedelme
- Az adatok törlése a megrendelés teljesítése után és a szolgáltatott adathordozók visszaszolgáltatása.
Az állami szervek esetében megállapodás köthető a felügyeleti hatósággal. A felügyeleti hatóságnak az adatfeldolgozás kiszervezése előtt be kell szereznie a technikai és szervezeti előírásokról szóló információkat, és azokat rendszeresen ellenőrizni kell. Az eredményeket rögzíteni kell. § A BDSG 11. §-a kimondja, hogy a vállalkozó, azaz a webtárhely köteles haladéktalanul tájékoztatni az ügyfelet, amint annak utasításai véleménye szerint sértik az adatvédelmi törvényeket. Azok számára, akik a webtárhelyek szolgáltatásait veszik igénybe, felmerül a bűnösség kérdése. A megbízásos adatkezelés esetében ugyanis szinte jellemző, hogy a jogszabályi rendelkezések betartásának kötelezettsége továbbra is a felhasználót terheli, nem pedig a webtárhelyet, még akkor is, ha ez utóbbi végzi a személyes adatok feldolgozását. A gondossági kötelezettség már a megrendelés leadása előtt is fennáll: A felhasználóknak meg kell győződniük a leendő tárhelyszolgáltató műszaki tulajdonságairól. Ezek a gondossági kötelezettségek a szerződéses jogviszony alatt is fennállnak. A legfontosabb követelmény még mindig az, hogy az adatfeldolgozásra vonatkozó megbízást írásban kell megadni. Az írásbeli megállapodás megköveteli, hogy a webtárhely és a felhasználó aláírja a szerződést. Egy online űrlap vagy feladat e-mailben történő benyújtása nem elegendő. Ezen túlmenően a megállapodásnak tartalmaznia kell a fent említett pontokat (tíz követelményt) ahhoz, hogy a megállapodás megfeleljen a BDSG 11. szakaszában foglalt követelményeknek.
A BDSG a webtárhelyekkel kapcsolatban
Másként ítélik meg, hogy a webhosting a német szövetségi adatvédelmi törvény (BDSG) 11. szakasza szerinti megbízásos adatfeldolgozásnak minősül-e, és hogy valóban szükség van-e írásbeli megállapodásra. Egyes jogtudósok azon a véleményen vannak, hogy megbízásos adatfeldolgozásról mindig akkor van szó, ha harmadik fél tárhelyét és számítógépes teljesítményét veszik igénybe. Ennek megfelelően a webes tárhely mindig megbízásos adatfeldolgozásnak minősül. Ennek oka, hogy az adatok fizikai ellenőrzése jelentős lehetőségeket teremt az adatfeldolgozás befolyásolására. E szerint a megbízásos adatfeldolgozás mindig akkor létezik, ha az adatfeldolgozó rendszerek befolyásolhatók. Ez még inkább igaz, ha a webtárhely átveszi a felügyelet és karbantartás területéről a feladatokat. Más jogtudósok feltételezik, hogy ezekben az esetekben még nincs jelen a megbízásos adatfeldolgozás. Ha az ügyfelek tárhelyet kérnek egy webhosztertől, akkor csupán bérelnek egy harmadik féltől származó adatfeldolgozó berendezést. A felhasználó dönti el, hogy mely programokat telepíti és milyen személyes adatokat tárol. A második nézet csak akkor feltételezi a megbízásos adatfeldolgozást, ha a webtárhely biztonsági mentéseket készít és tárolja azokat. A németországi adatvédelmi felügyeleti hatóságok az online áruház üzemeltetése esetén megbízott adatfeldolgozást vállalnak. Végül is minden online áruház személyes adatokat tárol.
A megbízásos adatfeldolgozásra vonatkozó európai rendeletek
Amint azt már kifejtettük, a webtárhelyre vonatkozó írásbeli megállapodás mindig szükséges, ha a webtárhely megbízásos adatfeldolgozásra kerül sor. Az adatvédelmi irányelv (95/46/EK irányelv) egy "adatfeldolgozóknak" nevezett csoportra vonatkozik. Az Európai Unió független tanácsadó testülete, a 29. cikk szerinti munkacsoport a következőképpen nyilatkozott a webtárhelyek szerepéről: "A webtárhelyek az ügyfeleik által az interneten közzétett személyes adatok feldolgozói". A tárhelyszolgáltatók számára óriási jelentőséggel bír, hogy szolgáltatásaik megbízásos adatfeldolgozásnak minősülnek-e. A jogsértés messzemenő következményei büntetőjogi és polgári jogi szankciókat is magukban foglalhatnak. A tárhelyszolgáltatóknak megbízásos adatfeldolgozás esetén hozzáférést kellene biztosítaniuk ügyfeleik számára az adatközpontjaikhoz, hogy képet alkothassanak a szervezési és technikai intézkedésekről. Ezért aligha meglepő, hogy a legtöbb webtárhely-üzemeltető nem tekinti magát a BDSG 11. szakasza értelmében vett megbízott adatfeldolgozónak. A BDSG megsértését az adatvédelmi felügyeleti hatóság a BDSG 43 I. § 2b. pontja alapján, a BDSG 43 III. §-ával összefüggésben, üldözheti. § 43 III BDSG 50 000 euróig terjedő pénzbírsággal sújtható. Azt a kérdést, hogy a webhosting megbízásos adatfeldolgozásnak minősül-e, jelenleg nem lehet 100 százalékosan tisztázni. Mivel a szakirodalomban különböző vélemények olvashatók, de a bíróságok még nem hoztak döntést e tekintetben, a webtárhely-szolgáltatásoknak a megbízásos adatfeldolgozás lehetséges területén történő megkötése jelenleg jogi szürke zóna. Mivel a webáruház-üzemeltetők, akiknek webáruházukat webhosterek üzemeltetik házigazda Ha egy webtárhelyet hajlamos érintetté tenni a megbízásos adatfeldolgozás, akkor figyelemmel kell kísérnie a jogi fejleményeket. A biztosra menő webtárhelyeknek érdemes beszerezniük a megbízásos adatfeldolgozásra vonatkozó szerződésmintákat, hogy kétség esetén legyen mit felmutatniuk. Az ügyfeleknek fel kell venniük a kapcsolatot a tárhelyszolgáltatóval, ha bizonytalanok, és egyedi esetekben tanácsot kell kérniük.