Rzecz o powierzeniu przetwarzania danych osobowych w usłudze hostingu

Poprzed­ni wpis na temat dzia­łań spół­ki świad­czą­cej usłu­gi pod mar­ką Fit and eat zna­lazł (co mnie cie­szy) odzew wśród czy­tel­ni­ków blo­ga. Dosta­łem maila pod­da­ją­ce­go w wąt­pli­wość kwe­stie zwią­za­ne z obo­wiąz­kiem powie­rze­nia prze­twa­rza­nia danych oso­bo­wych, któ­re­go powi­nien (według mnie) doko­nać admi­ni­stra­tor Fit and eat względem hostin­go­daw­cy. Ja jed­nak obsta­ję przy swo­im i dziś przed­sta­wię nowe fak­ty w dys­ku­sji wśród praw­ni­ków oba­la­ją­ce argu­ment z tzw. for­mal­nej wykład­ni prze­pi­sów usta­wy o ochro­nie danych osobowych.

Nim jed­nak przej­dę do sed­na czy­tel­ni­kom mniej wpraw­nym wytłu­ma­czę o co cho­dzi z powie­rze­niem prze­twa­rza­nia danych oso­bo­wych oraz z wykład­nią prawa.

Powie­rze­nie danych oso­bo­wych: wyobraź­my sobie, że jesteś jed­no­oso­bo­wym przed­się­bior­cą i sprze­da­jesz apa­ra­ty foto­gra­ficz­ne. Zazwy­czaj wysta­wiasz swo­im klien­tom (będą­cym oso­ba­mi fizycz­nym) para­go­ny fiskal­ne, ale jeśli ktoś sobie zaży­czy to wysta­wiasz fak­tu­rę VAT (na oso­bę fizycz­ną). Fak­tu­ry wysta­wia Tobie księ­go­wa, z któ­rej usług korzy­stasz do pro­wa­dze­nia swo­jej małej fir­my. Musisz więc podać jej imię, nazwi­sko i adres oso­by fizycz­nej, na któ­rą chcesz, by przy­go­to­wa­ła fak­tu­rę. W ten spo­sób docho­dzi do powie­rze­nia prze­twa­rza­nych przez Cie­bie danych księ­go­wej. Jeśli chcesz prze­twa­rzać dane oso­bo­we zgod­nie z obo­wią­zu­ją­cą w Pol­sce usta­wą, to powi­nie­neś z księ­go­wą zawrzeć umo­wę powie­rze­nia prze­twa­rza­nia danych oso­bo­wych. Zawar­cie takiej umo­wy pozwo­li Ci kon­tro­lo­wać kto, w jakim zakre­sie i celu będzie miał dostęp do danych, któ­rych Ty jesteś admi­ni­stra­to­rem i za nie odpo­wia­dasz w fir­mie Two­jej księ­go­wej. Tyl­ko tyle i aż tyle.

Wykład­nia pra­wa nato­miast to nic inne­go jak inter­pre­ta­cja obo­wią­zu­ją­ce­go prze­pi­su. Wykład­nia for­mal­na to inter­pre­ta­cja prze­pi­su pocho­dzą­ca od orga­nu państwa.

Jak więc już się domy­ślasz – dziś napi­szę parę słów o tym, jak pra­cow­ni­cy Biu­ra GIODO poj­mu­ją isto­tę powie­rze­nia prze­twa­rza­nia danych oso­bo­wych przy korzy­sta­niu z usług hostin­gu. Oso­by zorien­to­wa­ne w tema­cie wie­dzą, że na por­ta­lu edu­GIO­DO czy w jed­nej z żół­tych ksią­że­czek wyda­wa­nych przez GIODO znaj­du­je się odpo­wiedź na to pyta­nie, z któ­rej wyni­ka, w dużym uprosz­cze­niu, że powie­rze­nie prze­twa­rza­nia danych oso­bo­wych nie jest czyn­no­ścią zacho­dzą­cą auto­ma­tycz­nie w ramach hostin­gu. Wywo­dzi się to m.in. z fak­tu, iż hostin­go­daw­ca może zupeł­nie nie zaj­mo­wać się tymi dany­mi – tj. nawet nie wyko­ny­wać kopii zapa­so­wej czy udo­stęp­niać prze­strze­ni dys­ko­wej w macie­rzy (ale nie oszu­kuj­my się – każ­dy sza­nu­ją­cy swo­ich klien­tów hostin­go­daw­ca takich czyn­no­ści doko­nu­je). Poza tym hostin­go­daw­ca może nie mieć poję­cia o tym, że na jego ser­we­rze są prze­twa­rza­ne dane oso­bo­we (co jest już bar­dziej praw­do­po­dob­ne niż wariant pierw­szy). Oso­bi­ście zawsze byłem prze­ciw­ny takiej inter­pre­ta­cji prze­pi­sów, któ­ra wprost godzi w lite­ral­ną wykład­nię prze­pi­sów, w naszej kul­tu­rze praw­nej bar­dziej fawo­ry­zo­wa­ną niż wykład­nia for­mal­na. Mówiąc pro­sto – wykład­nia lite­ral­na to inter­pre­ta­cja „dosłow­na” tego, co usta­wo­daw­ca napi­sał w art. 7 usta­wy czyli:

prze­twa­rza­nie danych – rozu­mie się przez to jakie­kol­wiek ope­ra­cje wyko­ny­wa­ne na danych oso­bo­wych, takie jak zbie­ra­nie, utrwa­la­nie, prze­cho­wy­wa­nie, opra­co­wy­wa­nie, zmie­nia­nie, udo­stęp­nia­nie i usu­wa­nie, a zwłasz­cza te, któ­re wyko­nu­je się w sys­te­mach informatycznych,
sys­tem infor­ma­tycz­ny – rozu­mie się przez to zespół współ­pra­cu­ją­cych ze sobą urzą­dzeń, pro­gra­mów, pro­ce­dur prze­twa­rza­nia infor­ma­cji i narzę­dzi pro­gra­mo­wych zasto­so­wa­nych w celu prze­twa­rza­nia danych.
Usta­wo­daw­ca napi­sał wprost: prze­cho­wy­wa­nie danych = ich prze­twa­rza­nie. Hostin­go­daw­ca nie musi nawet robić bac­ku­pu, wystar­czy, że prze­cho­wu­je w wynaj­mo­wa­nej swo­im klien­tom prze­strze­ni dane oso­bo­we. Oczy­wi­ście ten pogląd, któ­ry repre­zen­tu­ję bywa kry­ty­ko­wa­ny po czę­ści dla­te­go, że GIODO na swo­jej stro­nie napi­sał to, o czym pisa­łem wcze­śniej. Wie­lu moich kole­gów po fachu stwier­dzi­ło po opu­bli­ko­wa­niu przy­ta­cza­nej wykład­ni prze­pi­sów, iż hosting nie pocią­ga auto­ma­tycz­nie za sobą powie­rze­nia prze­twa­rza­nia danych oso­bo­wych (jeśli znaj­du­ją się ona na wynaj­mo­wa­nej przestrzeni).

Jak się więc ma wykład­nia for­mal­na do powie­rze­nia danych oso­bo­wych hostingodawcy?

I tutaj mam pew­ną nie­spo­dzian­kę. Otóż 23 maja 2014 r. mia­łem przy­jem­ność zor­ga­ni­zo­wać spo­tka­nie, moż­na powie­dzieć – semi­na­rium nauko­we – dla stu­den­tów czte­rech Uni­wer­sy­te­tów w sie­dzi­bie GIODO. Spo­tka­li­śmy się w cał­kiem kame­ral­nym gro­nie 14 osób + 3 pra­cow­ni­ków Biu­ra Gene­ral­ne­go Inspek­to­ra Ochro­ny Danych Oso­bo­wych + GIODO we wła­snej oso­bie, czy­li p. Mini­ster dr Woj­ciech R. Wie­wió­row­ski. Samo spo­tka­nie doty­czy­ło bar­dzo wie­lu cie­ka­wych aspek­tów (wię­cej pod tym adre­sem) i szcze­rze mówiąc pro­blem powie­rze­nia uwa­żam przy nich za wtór­ny, ale jeden z moich kole­gów z Uni­wer­sy­te­tu im. Ada­ma Mic­kie­wi­cza w Pozna­niu zapy­tał o tą kwe­stię pra­cow­ni­ków GIODO – pp. Kata­rzy­nę Hil­de­brandt i Pio­tra Zydo­ro­wi­cza. Odpo­wiedź, jaką uzy­ska­li­śmy, któ­ra wzbu­dzi­ła zresz­tą dość cie­ka­wą dys­ku­sję, nie­co mnie skon­fun­do­wa­ła. Pra­cow­ni­cy Biu­ra wypo­wie­dzie­li się oczy­wi­ście w spo­sób nie­ofi­cjal­ny, lecz stwier­dzi­li, iż każ­do­ra­zo­we utrzy­my­wa­nie danych oso­bo­wych w ramach hostin­gu czy to na ser­we­rze wir­tu­al­nym czy dedy­ko­wa­nym, w chmu­rze czy też kla­strze jest fak­tycz­nym prze­twa­rza­niem danych oso­bo­wych, nawet gdy hostin­go­daw­ca umo­wy powie­rze­nia pod­pi­sać nie chce. Oczy­wi­ście pierw­sze co przy­szło mi do gło­wy, gdy taką odpo­wiedź udzie­li­li nam jed­ni z naj­bar­dziej doświad­czo­nych sta­żem pra­cow­ni­cy Biu­ra GIODO, to kwe­stia wspo­mnia­nej infor­ma­cji o hostin­gu wiszą­cej na edu­GIO­DO. Zapy­ta­ni o to wprost odpo­wie­dzie­li bar­dzo szcze­rze: wie­my, że taka infor­ma­cja jest na naszej stro­nie, ale jest ona błęd­na, nie­zgod­na z tym, co jest napi­sa­ne w usta­wie. Jeśli ktoś na swo­im hostin­gu utrzy­mu­je dane oso­bo­we, to je auto­ma­tycz­nie prze­twa­rza jako dane powie­rzo­ne i nie pozo­sta­wia to żad­nych wąt­pli­wo­ści. To wła­śnie ta wypo­wiedź była przy­czy­ną moje­go dyso­nan­su poznaw­cze­go. Oto bowiem Ci ludzie któ­rzy dawa­li głów­ne pali­wo prze­ciw­ni­kom moich poglą­dów przy­zna­li, że… ich pogląd jest błęd­ny :> Pie­kło zamar­z­ło chcia­ło­by się rzec, lecz na tym dys­ku­sji tej nie zakoń­czy­li­śmy. W toku dalej zada­wa­nych pytań poja­wi­ła się kwe­stia bar­dzo opor­nych na zawie­ra­nie umów powie­rze­nia prze­twa­rza­nia danych oso­bo­wych hostin­go­daw­ców. Tutaj wspo­mnie­ni Pań­stwo po raz kolej­ny powie­dzie­li nam bar­dzo szcze­rze i wprost, iż tacy hostin­go­daw­cy świa­do­mie łamią pra­wo, a ich maso­wy wręcz opór był jed­ną z przy­czyn wyda­nia wer­sji wykład­ni for­mal­nej zamiesz­czo­nej do dziś na edu­GIO­DO. Co cie­ka­we, z wypo­wie­dzi moż­na było wywnio­sko­wać, iż jeśli refor­ma sys­te­mu ochro­ny danych oso­bo­wych w Unii Euro­pej­skiej zakoń­czy się sku­ce­sem, to wszyst­kim tym fir­mom hostin­go­wym dane będzie sło­no zapła­cić za dal­szy opór przy pod­pi­sy­wa­niu umów powie­rze­nia prze­twa­rza­nia danych oso­bo­wych. Z jed­nej stro­ny „groź­ba” taka cie­szy, bo jest nadzie­ja, że nasze dane oso­bo­we będą wresz­cie pod więk­sza kon­tro­lą, z dru­giej jed­nak… nie ma co ukry­wać, ale obec­nej sytu­acji, szcze­gól­nie w świe­tle tego co się dowie­dzia­łem Biu­ro GIODO jest tro­chę samo sobie winne…

(od lewej) Woj­tek, ja i Kamil u bram GIODO 😉

Koń­cząc czu­ję się zobo­wią­zny do zazna­cze­nia, iż to cze­go się dowie­dzie­li­śmy i o czym tutaj piszę jest może i wykład­nią for­mal­ną doko­ny­wa­ną przez pra­cow­ni­ków Biu­ra GIODO, sam zaś GIODO (bo to on jest w koń­cu usta­wo­wym orga­nem pań­stwo­wym) może two­rzyć takie for­mal­ne wer­sje wykład­ni prze­pi­sów usta­wy, o któ­rej prze­strze­ga­nie dba, lecz ich zna­cze­nie jest wtór­ne w sto­sun­ku do wykład­ni lite­ral­nej pra­wa. To zaś, dro­gi Czy­tel­ni­ku, czym podzie­li­łem się tutaj z Tobą, to infor­ma­cje zaczerp­nię­te z pierw­szej ręki, lecz mimo wszyst­ko infor­ma­cje nie­ofi­cjal­ne. Wiedz jed­nak, że coś się dzie­je, a ta część praw­ni­ków, któ­ra upie­ra się przy bra­ku koniecz­no­ści powie­rze­nia prze­twa­rza­nych danych oso­bo­wych w ramach hostin­gu wkrót­ce polegnie ;>

2 komentarze do “Rzecz o powierzeniu przetwarzania danych osobowych w usłudze hostingu”

  1. Praw­ni­cy lubią kom­pli­ko­wać rze­czy­wi­stość dla wła­sne­go inte­re­su. To ja powiem tak – prze­sy­ła­nie też jest prze­twa­rza­niem. W związ­ku z tym, czy kupuj­cy ser­wer będzie doce­lo­wo pod­pi­sy­wał umo­wy z wszyst­ki­mi udo­stęp­nia­ją­cy­mi łącza w PL/UE/na świecie?

    Odpowiedz
    • Jan­ku,
      prze­sy­ła­nie to oczy­wi­ście też prze­twa­rza­nie, ale jest to czyn­ność tech­nicz­na i nie wyma­ga ona zawie­ra­nia tego typu umów. Pakiet danych po pro­stu prze­la­tu­je przez sieć, nikt go nie odno­to­wu­je i nie utrzy­mu­je dalej w swo­ich zaso­bach. Zresz­tą pakie­ty danych naj­czę­ściej są zaszy­fro­wa­ne (tego przy­naj­mniej wyma­ga pra­wo ochro­ny danych), więc i nie da się odczy­tać ich zawar­to­ści. Nie obraź się, ale zapre­zen­to­wa­na przez Cie­bie wykład­nia spro­wa­dza­ła­by spra­wę do absur­du. Prze­pi­sy wyraź­nie wska­zu­ją, iż nie cho­dzi o prze­twa­rza­nie mają­ce jedy­nie zna­cze­nie techniczne.

      Odpowiedz

Leave a Reply