Številni spletni gostitelji in uporabniki storitev gostovanja se še niso podrobno seznanili s pravnimi predpisi. Takoj po uporabi storitev spletnega gostitelja bo morda treba skleniti pisno pogodbo. To še posebej velja, če so izpolnjene zahteve iz člena 11 BDSG. Pravna ureditev določa, da se je treba pri oddaji obdelave osebnih podatkov zunanjim izvajalcem pisno dogovoriti in zabeležiti določene vsebine. Seznanimo vas z vsebino pogodbe in možnimi posledicami njenega neupoštevanja.
§ 11 BDSG - Spletno gostovanje je delno mogoče le s pisnim dogovorom
Spletno gostovanje zdaj ponujajo številni ponudniki storitev. Pogosto je dovolj le nekaj klikov, da naložite blog WordPress, spletno mesto ali spletno trgovino. Večina spletnih gostiteljev ne ve, da spletno gostovanje zahteva pisni dogovor z uporabnikom, če se med naročilom obdelujejo osebni podatki. To zahteva člen 11 BDSG (Zvezni zakon o varstvu podatkov). Pri spletnem gostovanju ponudnik uporabniku zagotovi prostor za shranjevanje na spletnem strežniku. Obseg storitev sega od preprostega zagotavljanja virov do vsestranskih storitev, kot so varnostno kopiranje podatkov, spremljanje in statistične ocene. Če opravljene storitve vključujejo shranjevanje in obdelavo osebnih podatkov, je treba skleniti pisni dogovor. To velja zlasti, če gre za naročeno obdelavo podatkov. To pomeni zunanje izvajanje postopkov obdelave podatkov. Spletni gostitelj je vedno zavezan navodilom stranki, kar pomeni, da nima nobene svobode odločanja ali ocenjevanja v zvezi s posredovanimi podatki.
Vsebina člena 11 BDSG (Zvezni zakon o varstvu podatkov)
§ 11 I BDSG določa, da je stranka odgovorna za skladnost z določbami BDSG. Stranka mora med drugim zagotoviti, da spletni gostitelj pri obdelavi osebnih podatkov ravna v skladu z BDSG. Če pride do kakršne koli škode, jo krije stranka. Stroške lahko od spletnega gostitelja izterjate v obliki odškodnine. § 11 II BDSG določa, da mora izvajalec (spletni gostitelj) skrbno izbrati vse ukrepe na tehnični in organizacijski ravni. Nato navaja, da zakon določa, da mora biti naročilo obvezno izključno v pisni obliki. V Pogodba je treba upoštevati naslednje točke:
- Predmet in trajanje pogodbe
- Obseg, namen in narava zbiranja, obdelave in uporabe osebnih podatkov
- Vrsta podatkov in skupina posameznikov, na katere se nanašajo osebni podatki
- Organizacijski in tehnični ukrepi, ki jih je treba sprejeti v skladu s členom 9 BDSG
- Ukrepi za blokiranje, izbris in popravek podatkov
- obveznosti izvajalca, na primer nadzor (opredeljen v členu 11 IV BDSG)
- vsa dovoljenja za najemanje podizvajalcev
- evidentiranje nadzornih pravic stranke
- Obveznosti izvajalca glede strpnosti in sodelovanja
- obveznosti obveščanja izvajalca in njegovih podizvajalcev v primeru kršitve zaščitnih predpisov v zvezi z
osebni podatki
- Obseg naročnikovih pooblastil za dajanje navodil izvajalcu (spletnemu gostitelju)
- brisanje podatkov po zaključku naročila in vračilo zagotovljenih nosilcev podatkov.
V primeru javnih organov je mogoče doseči dogovor z nadzornim organom. Nadzorni organ mora pridobiti informacije o tehničnih in organizacijskih standardih pred oddajo obdelave podatkov v zunanje izvajanje in jih redno spremljati. Rezultate je treba zabeležiti. § Člen 11 BDSG določa, da mora izvajalec, tj. spletni gostitelj, takoj obvestiti naročnika, če po njegovem mnenju njegova navodila kršijo zakone o varstvu podatkov. Ljudem, ki uporabljajo storitve spletnih gostiteljev, se poraja vprašanje krivde. Navsezadnje je v primeru naročene obdelave podatkov skoraj značilno, da je dolžnost spoštovanja zakonskih določb še vedno na strani uporabnika in ne spletnega gostitelja, čeprav ta izvaja obdelavo osebnih podatkov. Dolžnost skrbnega ravnanja se pojavi že pred oddajo naročila: Uporabniki se morajo prepričati o tehničnih lastnostih bodočega spletnega gostitelja. Te dolžnosti skrbnega ravnanja obstajajo tudi med pogodbenim razmerjem. Še vedno najpomembnejša zahteva je, da mora biti naročilo za obdelavo podatkov podano v pisni obliki. Pisna pogodba zahteva, da jo gostitelj in uporabnik podpišeta. Oddaja spletnega obrazca ali naloge po elektronski pošti ne zadostuje. Poleg tega mora sporazum vsebovati zgoraj navedene točke (deset zahtev), da je sporazum skladen z zahtevami iz oddelka 11 BDSG.
BDSG v povezavi s spletnim gostovanjem
Ali je spletno gostovanje naročena obdelava podatkov v skladu s členom 11 nemškega zveznega zakona o varstvu podatkov (BDSG) in ali je dejansko potrebna pisna pogodba, se presoja različno. Nekateri pravni strokovnjaki menijo, da naročena obdelava podatkov vedno obstaja, kadar se uporablja prostor za shranjevanje in računalniška zmogljivost tretje osebe. Zato spletno gostovanje vedno pomeni naročeno obdelavo podatkov. Razlog za to je, da fizični nadzor nad podatki omogoča precejšnje možnosti vplivanja na obdelavo podatkov. Po tem mnenju naročena obdelava podatkov vedno obstaja, če je mogoče vplivati na sisteme obdelave podatkov. To velja še toliko bolj, če spletni gostitelj prevzame naloge s področja spremljanja in vzdrževanja. Drugi pravni strokovnjaki domnevajo, da v teh primerih še ni naročene obdelave podatkov. Če stranke od spletnega gostitelja zahtevajo prostor za shranjevanje, le najamejo opremo za obdelavo podatkov tretje osebe. Uporabnik odloča o tem, kateri programi bodo nameščeni in kateri osebni podatki bodo shranjeni. Drugi pogled predvideva naročeno obdelavo podatkov le, če spletni gostitelj izdeluje varnostne kopije in jih shranjuje. Nadzorni organi za varstvo podatkov v Nemčiji prevzamejo naročeno obdelavo podatkov pri gostovanju spletne trgovine. Navsezadnje vsaka spletna trgovina shranjuje osebne podatke.
Evropski predpisi o naročeni obdelavi podatkov
Kot je bilo že pojasnjeno, je pisna pogodba o spletnem gostovanju vedno potrebna, če spletni gostitelj naroča obdelavo podatkov. Direktiva o varstvu podatkov (Direktiva 95/46/ES) zajema skupino, imenovano "obdelovalci". Neodvisni svetovalni organ Evropske unije, delovna skupina iz člena 29, je o vlogi spletnih gostiteljev povedal: "Spletni gostitelji so obdelovalci osebnih podatkov, ki jih njihove stranke objavijo na internetu." Za spletne gostitelje je zelo pomembno, ali se njihove storitve štejejo za naročeno obdelavo podatkov. Daljnosežne posledice kršitve lahko vključujejo kazenske in civilne kazni. Spletni gostitelji bi morali svojim strankam v primeru naročene obdelave podatkov omogočiti dostop do svojih podatkovnih centrov, da si lahko ustvarijo predstavo o organizacijskih in tehničnih ukrepih. Zato ni presenetljivo, da se večina spletnih gostiteljev ne šteje za pooblaščene obdelovalce podatkov v smislu člena 11 BDSG. Kršitve BDSG lahko preganja nadzorni organ za varstvo podatkov v skladu s členom 43 I št. 2b v povezavi s členom 43 III BDSG. § 43 III BDSG se lahko kaznuje z globo do 50.000 evrov. Vprašanja, ali je spletno gostovanje naročena obdelava podatkov, trenutno ni mogoče stoodstotno razjasniti. Ker v literaturi obstajajo različna mnenja, sodišča pa v zvezi s tem še niso sprejela nobene odločitve, je sklenitev storitev spletnega gostovanja na morebitnem področju naročene obdelave podatkov trenutno pravno sivo področje. Ker upravljavci trgovin, ki imajo svojo spletno trgovino gostovano pri spletnih gostiteljih. gostitelj Če na spletnega gostitelja vpliva naročena obdelava podatkov, mora pozorno spremljati pravni razvoj. Spletni gostitelji, ki želijo biti na varni strani, naj si priskrbijo vzorce pogodb o naročeni obdelavi podatkov, da bodo imeli kaj pokazati v primeru dvoma. Če so stranke negotove, naj se obrnejo na svojega spletnega gostitelja in v posameznih primerih zaprosijo za nasvet.