W RODO ważna jest umowa powierzenia danych

Adobe Stock

Co się stanie, gdy dostawca usługi hostingowej serwera nie będzie gotowy na RODO? Jeśli 24 maja poinformuje on przedsiębiorcę, że nie zdążył, albo – co bardziej prawdopodobne – nie poinformuje? Kto za to odpowie?

Materiał powstał we współpracy z firmą Sage

Do rzadkości należą przypadki, że strona internetowa, a zwłaszcza sklep internetowy, jest w całości zbudowany przez przedsiębiorcę, na jego serwerach, bez dodatkowych narzędzi analitycznych, dostawców usług, agencji marketingowych. Oprócz tego, co na co dzień widzi klient, zazwyczaj firmy mają dostawcę hostingu, domeny, agencję, która jest dla nich wsparciem technicznym, programistę współpracującego B2B, jak również gotowe platformy sklepowe, wtyczki do poszczególnych funkcjonalności czy narzędzia do analizy danych – chociażby formularz kontaktowy obsługiwany gotową wtyczką.

Trzeba założyć, że dostawca usługi hostingowej może mieć dostęp do takiego formularza i znajdujących się na nim danych. Pracownicy dostawcy mogą mieć dostęp do danych klientów zleceniodawcy, a więc może zdarzyć się incydent, na który przedsiębiorca nie będzie mieć wpływu, możemy nawet o nim nie wiedzieć, ale będziemy za niego odpowiadali jako administrator danych.

Dlatego warto mieć z dostawcą usługi hostingowej umowę powierzenia danych i poinformować klientów, że ich dane mogą być przetwarzane przez taki podmiot.

Idąc tym tropem, dostawca „wtyczki” do e-sklepu, do formularza kontaktowego czy do czatu z klientem również może mieć wgląd w te dane, a przynajmniej nie można mieć pewności, że go nie ma. Oznacza to, że firma powinna zawrzeć z nim umowę powierzenia danych i znowu poinformować klientów, że te podmioty mogą przetwarzać ich dane w określonym zakresie. W jakim? To leży już w gestii ADO (administratora danych osobowych), czyli przedsiębiorcy.

W dalszej kolejności trzeba określić, jakie inne podmioty mogą przetwarzać dane, kto jest dostawcą darmowej wtyczki, gdzie ma swoje serwery – w Unii Europejskiej, a może poza nią? Co z wtyczkami na licencjach typu open source, współtworzonych przez społeczność internetową? Czy ktoś uzna za zasadne inwestować w rozwój darmowej wtyczki?

Przedsiębiorca staje tu przed ogromnym wyzwaniem analizy regulaminów wszystkich wtyczek, określenia ich dostawcy i jego siedziby i w obliczu decyzji, czy regulamin reguluje kwestię przetwarzania danych, czy też potrzebujemy osobnej umowy. Co niestety nie oznacza, że np. wtyczki zagranicznych twórców spoza Unii Europejskiej, często dostępne w języku angielskim i chętnie wykorzystywane, w ogóle będą dostosowywane do RODO. Można sobie wyobrazić, że twórcom zależy głównie np. na lokalnych użytkownikach w USA, w związku z tym europejskie normy prawne nie będą dla nich priorytetem.

Czy zagrożenie jest realne? Jeżeli używany przez firmę plug-in może stanowić potencjalne źródło wycieku danych, to zgodnie z regulacjami RODO w tej sytuacji przedsiębiorca nie może zbagatelizować takiego zagrożenia, bo będzie to oznaczało, że nie dołożył wszelkich starań do zabezpieczenia danych klientów. Może oczywiście określić ryzyko jako małe. Czy będzie to jednak realna ocena? Brak podstawowych informacji o tym, kto jest podmiotem przetwarzania danych, może znacznie utrudnić linię obrony w razie kontroli lub, co gorsza, incydentu.

Warto więc przyjrzeć się wszystkim elementom współpracy i odnaleźć regulaminy, a być może pomyśleć nad zamianą platformy na kompleksowe rozwiązanie zapewniane przez dostawcę i uniknąć negatywnych konsekwencji.

Zuzanna Jarzębowska, Digital marketing & e-commerce coordinator w Sage Academy / Tomasz Mamys, Manager RODO w Sage

Mogą Ci się również spodobać

Prezes Huawei: Nasza sprzedaż runie przez sankcje Trumpa

Prezes Huawei Ren Zhengfei oszacował, że sprzedaż firmy spadnie nawet o 40 proc. w ...

Facebook nie żałuje na bezpieczeństwo Zuckerberga

Społecznościowy gigant podwoił kwotę wydaną na bezpieczeństwo dyrektora generalnego Marka Zuckerberga w 2018 roku ...

Przełom w cyfryzacji służby zdrowia

Rządowy projekt e-zdrowie, a także inwestycje firm prywatnych nabierają tempa. Asseco zaczyna oferować m.in. ...

Gra o Iron Maiden czy Ion Maiden? Będzie proces

Członkowie heavymetalowej formacji, doszukując się podobieństw do swojej marki, pozwali równie legendarne studio 3D ...

Biznesowa „jeżynka” chce wrócić do łask. Sprawdzamy, co oferuje

Chiński producent telewizorów oraz telefonów komórkowych z logo Alcatel, próbuje teraz tchnąć życie w ...

Na ryby czy safari ze sztuczną inteligencją

Systemy komputerowe uczą się już rozpoznawać nowe gatunki zwierząt, pomagając w ten sposób naukowcom. ...