§ 11 BDSG - Web hosting może być możliwy tylko po pisemnym uzgodnieniu

Wielu hosterów internetowych i ludzi, którzy korzystają z usług hostingowych nie mają jeszcze do czynienia z regulacjami prawnymi w szczegółach. Gdy tylko usługi hosta internetowego zostaną wykorzystane, może być konieczne zawarcie pisemnej umowy. Jest to szczególnie ważne, gdy spełnione są wymogi § 11 BDSG. Rozporządzenie prawne stanowi, że w przypadku zlecania przetwarzania danych osobowych na zewnątrz, pewne treści muszą być uzgodnione i zapisane na piśmie. Poinformujemy Państwa o treści umowy i ewentualnych konsekwencjach jej nieprzestrzegania.

§ 11 BDSG - Web hosting częściowo możliwy tylko po pisemnym uzgodnieniu

Web hosting jest obecnie oferowany przez wielu dostawców usług. Często wystarczy tylko kilka kliknięć, aby załadować bloga WordPressa, stronę internetową lub sklep internetowy. Większość hosterów internetowych nie wie, że hosting wymaga pisemnej umowy z użytkownikiem, jeśli dane osobowe są przetwarzane w trakcie realizacji zamówienia. Jest to przewidziane w § 11 BDSG (Federalna ustawa o ochronie danych osobowych). Z hostingiem internetowym, użytkownik ma zapewnione miejsce do przechowywania na serwerze internetowym przez dostawcę. Zakres usług obejmuje zarówno proste udostępnianie zasobów, jak i wszechstronne usługi, takie jak tworzenie kopii zapasowych danych, monitorowanie i oceny statystyczne. Jeżeli świadczone usługi są związane z przechowywaniem i przetwarzaniem danych osobowych, należy zawrzeć pisemne umowy. Dotyczy to w szczególności przetwarzania danych na zlecenie. Jest to rozumiane jako outsourcing przetwarzania danych. Właściciel strony internetowej jest zawsze związany instrukcjami klienta, tzn. nie ma możliwości decydowania ani oceniania o przesyłanych danych.

Treść § 11 BDSG (Federalna ustawa o ochronie danych osobowych)

§ 11 I BDSG stanowi, że klient jest odpowiedzialny za przestrzeganie postanowień BDSG. Klient musi między innymi upewnić się, że hostingodawca przestrzega BDSG podczas przetwarzania danych osobowych. W przypadku wystąpienia szkód, ponosi je klient. Koszty te mogą być odzyskane od hostingodawcy w drodze odszkodowania. § 11 II BDSG stanowi, że wykonawca (hostingodawca) musi starannie dobrać wszystkie środki na poziomie technicznym i organizacyjnym. Następnie stwierdza się, że prawo wymaga, aby zamówienie było składane wyłącznie w formie pisemnej. W Umowa należy zwrócić uwagę na następujące kwestie:

- Przedmiot i czas trwania umowy
- Zakres, cel i charakter gromadzenia, przetwarzania i wykorzystywania danych osobowych
- Charakter danych i krąg osób, których dane dotyczą
- Środki organizacyjne i techniczne, które należy podjąć zgodnie z § 9 BDSG
- Środki służące do blokowania, usuwania i korygowania danych
- Obowiązki wykonawcy, np. inspekcje (określone w § 11 IV BDSG)
- Wszelkie zezwolenia na zatrudnianie podwykonawców
- Zatrzymanie praw kontroli klienta
- Obowiązki zleceniobiorcy w zakresie tolerowania i współpracy
- Obowiązki powiadamiania wykonawcy i jego podwykonawców w przypadku naruszenia przepisów ochronnych w odniesieniu do
dane dotyczące poszczególnych osób
- Zakres uprawnień klienta do wydawania instrukcji dla wykonawcy (hosta)
- Usunięcie danych po zakończeniu realizacji zamówienia i zwrot dostarczonych nośników danych

W przypadku organów publicznych możliwe jest osiągnięcie porozumienia z technicznym organem nadzoru. Przed zleceniem przetwarzania danych na zewnątrz, organ ten musi poinformować się o standardach technicznych i organizacyjnych oraz regularnie je sprawdzać. Wyniki muszą być rejestrowane. Zgodnie z § 11 federalnej ustawy o ochronie danych osobowych (Bundesdatenschutzgesetz) zleceniobiorca, tzn. gospodarz strony internetowej, musi niezwłocznie poinformować klienta, gdy tylko jego zdaniem instrukcje naruszają przepisy o ochronie danych osobowych. Kwestia winy pojawia się w przypadku osób, które korzystają z usług webhosterów. Charakterystyczne dla zleconego przetwarzania danych jest przecież to, że obowiązek przestrzegania przepisów ustawowych spoczywa nadal na użytkowniku, a nie na webmasterze, mimo że webmaster zajmuje się przetwarzaniem danych osobowych. Obowiązek staranności pojawia się już przed złożeniem zamówienia: Użytkownicy są zobowiązani do przekonania się o technicznych zaletach swojego przyszłego hostera. Ten obowiązek staranności obowiązuje również w czasie trwania stosunku umownego. Najważniejszym wymogiem jest jednak, aby zamówienie na przetwarzanie danych zostało złożone w formie pisemnej. Pisemna umowa zakłada podpisanie umowy przez hostera i użytkownika. Złożenie formularza online lub zamówienia pocztą elektroniczną nie jest wystarczające. Ponadto umowa musi zawierać wyżej wymienione punkty (dziesięć wymogów), aby spełniała ona wymogi § 11 federalnej ustawy o ochronie danych osobowych.

BDSG w związku z hostingiem internetowym

Inaczej ocenia się, czy web hosting obejmuje zlecone przetwarzanie danych zgodnie z § 11 BDSG i czy rzeczywiście wymagana jest pisemna umowa. Niektórzy prawni naukowcy są zdania, że zlecone przetwarzanie danych jest zawsze obecne, jeśli przestrzeń pamięci i moc komputera są zgłaszane przez osoby trzecie. W związku z tym web hosting zawsze wiąże się z zleconym przetwarzaniem danych. Wynika to z faktu, że fizyczna kontrola danych stwarza znaczne możliwości wpływania na ich przetwarzanie. Zgodnie z tym poglądem, zlecone przetwarzanie danych jest zawsze podawane, gdy można mieć wpływ na systemy przetwarzania danych. Jest to tym bardziej prawdziwe, że webhost przejmuje zadania w zakresie monitoringu i konserwacji. Inni prawnicy zakładają, że zlecone przetwarzanie danych nie istnieje jeszcze w tych przypadkach. Jeśli klienci potrzebują przestrzeni dyskowej w hostingu internetowym, wynajmują jedynie zewnętrzne systemy przetwarzania danych. Użytkownik decyduje, jakie programy są instalowane i jakie dane osobowe są przechowywane. Drugi widok akceptuje przetwarzanie danych zamówienia tylko wtedy, gdy hoster sieciowy wykonuje kopie zapasowe i je przechowuje. Organy nadzorujące ochronę danych osobowych w Niemczech akceptują zlecone przetwarzanie danych w przypadku hostingu sklepu internetowego. Przecież dane osobowe są przechowywane w każdym sklepie internetowym.

Europejskie przepisy dotyczące przetwarzania danych na zlecenie

Jak już wyjaśniono, pisemna umowa na hosting jest zawsze konieczne, jeśli jest zlecone przetwarzanie danych ze strony hosta. Dyrektywa o ochronie danych (dyrektywa 95/46/WE) obejmuje grupę określaną jako "przetwarzający". Niezależny organ doradczy Unii Europejskiej, "Grupa Robocza Art. 29", skomentował rolę gospodarzy stron internetowych: "Gospodarze stron internetowych są podmiotami przetwarzającymi dane osobowe publikowane w Internecie przez swoich klientów". Dla gospodarzy stron internetowych ogromne znaczenie ma to, czy ich usługi są uznawane za zlecone przetwarzanie danych. Daleko idące konsekwencje naruszenia mogą obejmować sankcje karne i cywilne. Gospodarze stron internetowych musieliby zapewnić swoim klientom dostęp do swoich centrów danych w przypadku zleconego przetwarzania danych, tak aby mogli oni wyrobić sobie zdanie na temat środków organizacyjnych i technicznych. Nie jest zatem zaskakujące, że większość hostingodawców nie uważają się za zleceniodawców przetwarzania danych w rozumieniu § 11 BDSG. Naruszenie BDSG może zostać ukarane przez organ nadzorujący ochronę danych zgodnie z § 43 I nr 2b i.V.m. § 43 III BDSG karą grzywny w wysokości do 50.000 euro. Kwestia, czy hosting stron internetowych stanowi zlecone przetwarzanie danych, nie może być obecnie wyjaśniona w 100 procentach. Ponieważ w literaturze istnieją różne opinie, ale orzecznictwo nie wydało jeszcze żadnych orzeczeń w tym zakresie, zawarcie usług hostingowych w potencjalnym obszarze zleconego przetwarzania danych jest obecnie prawnie szarą strefą. Ponieważ operatorzy sklepów internetowych, którzy mają swoje sklepy internetowe hostowane przez webhosterów gospodarz Jeżeli osoby, których dane dotyczą, a które mogą być dotknięte przetwarzaniem danych osobowych na podstawie umowy, nie są w stanie poznać zmian prawnych, powinny je stale monitorować. Hostery internetowe, które chcą być po bezpiecznej stronie, powinny otrzymać wzory umów na zlecone przetwarzanie danych, aby w razie wątpliwości mogły coś pokazać. Klienci powinni skontaktować się ze swoim gospodarzem sieci w przypadku wątpliwości i zasięgnąć porady w indywidualnych przypadkach.

Artykuły bieżące