Hosting a RODO – jakie zasady obowiązują?
Wraz z wejściem w życie RODO zawieranie umów o świadczenie usług hostingowych z podmiotami trzecimi wymaga zupełnie odmiennego podejścia do ochrony danych osobowych. Niestety świadomość i zasadności wprowadzania zmian dyktowanych nowym ogólnym rozporządzeniem o ochronie danych osobowych (RODO) wciąż pozostaje niewielka.
Należy jednak pamiętać, że nie tylko RODO determinuje sposób ochrony danych osobowych i ich przetwarzanie. Jednym z ważniejszych dokumentów jest obowiązująca ustawa o ochronie danych osobowych. RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 roku „w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE” jedynie ogólnie odnosi się do obowiązujących zasad, którymi muszą odznaczać się świadczone usługi hostingowe.
Dlaczego świadczenie usług hostingowych zgodnych z RODO jest tak istotne?
RODO wymusiło wprowadzenie wielu kluczowych zmian w sposobie świadczenia i zawierania umów na usługi hostingowe. Zapisy nowego rozporządzenia wymuszają na hostingodawcach oferowanie bezpiecznych procedur i rozwiązań w zakresie przetwarzania, przechowywania i ochrony danych. Niedostosowanie się do nowego porządku może skutkować nałożeniem na firmy znacznych kar finansowych, a w konsekwencji potencjalną możliwością utraty dobrego imienia firmy, jej reputacji oraz klientów, których dane zostały w jakiś sposób naruszone lub wykradzione.
Umowa powierzania danych osobowych
Wedle wymienionych dokumentów ochrona, przetwarzanie i przechowywanie danych osobowych administratora danych (usługobiorcy) dotyczy podmiotu świadczącego usługi hostingowe. Zgodnie z obowiązującymi zasadami przestrzeganie przepisów spoczywa nie tylko na administratorze danych, ale również na firmie hostingowej. Dlatego też, by uniknąć konsekwencji naruszenia rozporządzenia RODO, konieczne jest zawarcie z usługodawcą umowy powierzania danych osobowych. W umowie tej konieczne jest precyzyjne określenie jej zakresu oraz celu.
Najważniejsze procedury wynikające z RODO konieczne do zastosowania w usługach hostingowych
RODO to ogólne rozporządzenie, wobec czego nie precyzuje jasno, w jaki sposób firmy hostingowe mają świadczyć swoje usługi. Niemniej jednak z ogólnego rozporządzenia można wyłonić kilka kluczowych informacji dla hostingodawców, są to:
- możliwość wniesienia skargi do UODO przez poszkodowaną osobę fizyczną,
- znaczące ograniczenia i obostrzenia w przetwarzaniu danych osobowych dzieci, danych wrażliwych i informacji medycznych,
- ułatwienie usunięcia danych osobowych osób, które korzystały z prawa do bycia zapomnianymi,
- prawo do zażądania przeniesienia danych i otrzymania ich kopii,
- konieczność prowadzenia przez firmę rejestru przetwarzania danych oraz naruszeń,
- w niektórych okolicznościach konieczność zatrudnienia Inspektora Ochrony Danych,
- konieczność zgłaszania naruszeń do 72 h od ich wystąpienia,
- tworzenie szyfrowanych i bezpiecznych baz danych dla klientów,
- obowiązek udowodnienia bezpieczeństwa przetwarzanych, pozyskiwanych i przechowywanych danych osobowych,
- podmiot przetwarzający dane odpowiada przed sądem cywilnym i karnym w sposób bezpośredni za wszelkie naruszenia, a odpowiedzialność spoczywa bezpośrednio na osobie zarządzającej firmą lub organizacją.
W jaki sposób firmy hostingowe mogą zapewniać swoje usługi w sposób zgodny z rozporządzeniami RODO?
Ze względu na ogólność zapisów rozporządzenia, ich interpretacja może być wykonywana na wiele sposobów. Niemniej jednak do kluczowych sposobów ochrony danych osobowych zalicza się zdolność do ciągłego utrzymywania integralności, dostępności i poufności systemów przetwarzania danych, a także możliwość szybkiego przywrócenia dostępności danych osobowych oraz dostępu do nich w przypadku awarii lub cyberataku.
Poza tym firmy hostingowe muszą zapewnić kompleksowe szyfrowanie i pseudonimizację danych osobowych oraz regularnie mierzyć, weryfikować i przeprowadzać testy środków ochrony mających na celu zapewnienie bezpieczeństwa przetwarzania.