W RODO ważna jest umowa powierzenia danych

Co się stanie, gdy dostawca usługi hostingowej serwera nie będzie gotowy na RODO? Jeśli 24 maja poinformuje on przedsiębiorcę, że nie zdążył, albo – co bardziej prawdopodobne – nie poinformuje? Kto za to odpowie?

Materiał powstał we współpracy z firmą Sage

Do rzadkości należą przypadki, że strona internetowa, a zwłaszcza sklep internetowy, jest w całości zbudowany przez przedsiębiorcę, na jego serwerach, bez dodatkowych narzędzi analitycznych, dostawców usług, agencji marketingowych. Oprócz tego, co na co dzień widzi klient, zazwyczaj firmy mają dostawcę hostingu, domeny, agencję, która jest dla nich wsparciem technicznym, programistę współpracującego B2B, jak również gotowe platformy sklepowe, wtyczki do poszczególnych funkcjonalności czy narzędzia do analizy danych – chociażby formularz kontaktowy obsługiwany gotową wtyczką.

Trzeba założyć, że dostawca usługi hostingowej może mieć dostęp do takiego formularza i znajdujących się na nim danych. Pracownicy dostawcy mogą mieć dostęp do danych klientów zleceniodawcy, a więc może zdarzyć się incydent, na który przedsiębiorca nie będzie mieć wpływu, możemy nawet o nim nie wiedzieć, ale będziemy za niego odpowiadali jako administrator danych.

Dlatego warto mieć z dostawcą usługi hostingowej umowę powierzenia danych i poinformować klientów, że ich dane mogą być przetwarzane przez taki podmiot.

Idąc tym tropem, dostawca „wtyczki” do e-sklepu, do formularza kontaktowego czy do czatu z klientem również może mieć wgląd w te dane, a przynajmniej nie można mieć pewności, że go nie ma. Oznacza to, że firma powinna zawrzeć z nim umowę powierzenia danych i znowu poinformować klientów, że te podmioty mogą przetwarzać ich dane w określonym zakresie. W jakim? To leży już w gestii ADO (administratora danych osobowych), czyli przedsiębiorcy.

W dalszej kolejności trzeba określić, jakie inne podmioty mogą przetwarzać dane, kto jest dostawcą darmowej wtyczki, gdzie ma swoje serwery – w Unii Europejskiej, a może poza nią? Co z wtyczkami na licencjach typu open source, współtworzonych przez społeczność internetową? Czy ktoś uzna za zasadne inwestować w rozwój darmowej wtyczki?

Przedsiębiorca staje tu przed ogromnym wyzwaniem analizy regulaminów wszystkich wtyczek, określenia ich dostawcy i jego siedziby i w obliczu decyzji, czy regulamin reguluje kwestię przetwarzania danych, czy też potrzebujemy osobnej umowy. Co niestety nie oznacza, że np. wtyczki zagranicznych twórców spoza Unii Europejskiej, często dostępne w języku angielskim i chętnie wykorzystywane, w ogóle będą dostosowywane do RODO. Można sobie wyobrazić, że twórcom zależy głównie np. na lokalnych użytkownikach w USA, w związku z tym europejskie normy prawne nie będą dla nich priorytetem.

Czy zagrożenie jest realne? Jeżeli używany przez firmę plug-in może stanowić potencjalne źródło wycieku danych, to zgodnie z regulacjami RODO w tej sytuacji przedsiębiorca nie może zbagatelizować takiego zagrożenia, bo będzie to oznaczało, że nie dołożył wszelkich starań do zabezpieczenia danych klientów. Może oczywiście określić ryzyko jako małe. Czy będzie to jednak realna ocena? Brak podstawowych informacji o tym, kto jest podmiotem przetwarzania danych, może znacznie utrudnić linię obrony w razie kontroli lub, co gorsza, incydentu.

Warto więc przyjrzeć się wszystkim elementom współpracy i odnaleźć regulaminy, a być może pomyśleć nad zamianą platformy na kompleksowe rozwiązanie zapewniane przez dostawcę i uniknąć negatywnych konsekwencji.

Zuzanna Jarzębowska, Digital marketing & e-commerce coordinator w Sage Academy / Tomasz Mamys, Manager RODO w Sage