W kwietniu blogi i portale informacyjne donosiły o "niesłychanej" inicjatywie podjętej przez nazwa.pl a związanej z wprowadzeniem RODO.
Jak wszyscy wiemy - nowe przepisy (choć nie do końca nowe w Polsce) to nowy szał, nowa okazja by zabić nieco kasy.

W związku z RODO niezbędna staje się umowa o powierzenie przetwarzania danych osobowych z usługodawcą hostingu. Jednak nie jest to nic nowego bo zawarcie takiej umowy wymuszał już art. 31 ustawy z dnia 29 sierpnia 1997.
Czyli od 1998 roku wszyscy przetwarzający dane na systemach czy stronach hostując je u usługodawcy powinni taką umowę posiadać.

Jak to było realizowane w praktyce? Tutaj są wyniki i raport pochodzący z 2014 roku:
https://www.cyberlaw.pl/wp-content/u...tawcy-2014.pdf

Świadomość była niska... tak jak niskie były ceny. Najdroższe rozwiązanie to 200 zł + VAT miesięcznie.

By nie było wątpliwości czy posiadacie dane osobowe w swoich systemach i czy je przetwarzacie, oto rozumienie tych pojęć według RODO. Artykuł 4, ustępy 1 i 2:

1) „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

2) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
Czyli jeśli tylko pojawią się na waszej stronie imiona i nazwiska np. w mailu (adam.skadkolwiek@gmail.com) lub nazwie użytkownika... jeśli macie sklepy to bez dwóch zdań posiadacie dane osobowe i je przetwarzacie.

Dzisiaj, kiedy RODO ma zacząć obowiązywać już za 6 dni (25 maja 2018), spece od handlu zacierają łapki. Oto treść listu jaki otrzymałem z nazwa.pl w związku z moim zapytaniem o umowę powierzenia przetwarzania danych:

Witam,
z uwagi na rozpoczęcie obowiązywania od dnia 25 maja 2018 r. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) https://eur-lex.europa.eu/legal-cont...6R0679&from=PL, nazwa.pl informuje o konieczności dostosowania się zarówno dostawcy, jak i użytkownika usługi do zasad wynikających z tego rozporządzenia.


W sytuacji jeśli posiadają Państwo jako przedsiębiorca usługę w oparciu o hosting w ramach której przetwarzają Państwo dane osobowe, nazwa.pl informuje, iż zgodnie z obowiązującym regulaminem OWU konieczne będzie podpisanie umowy Powierzenia Przetwarzania Danych Osobowych.


Przed podpisaniem umowy Powierzenia Przetwarzania Danych Osobowych konieczne będzie przeprowadzenie procesu audytu tych danych. Na podstawie tego audytu, zostanie podjęta decyzja, czy zakres przetwarzanych przez Państwa danych pozwala na podpisanie umowy Powierzenia Przetwarzania Danych Osobowych.


Przeprowadzeniem audytu zajmie się profesjonalnie przygotowany zespół specjalistów w zakresie przetwarzania danych osobowych. W efekcie, otrzymają Państwo gwarancję, że dane będą przetwarzane i przechowywane zgodnie z nowymi przepisami prawa. Usługa audytu jest podyktowana koniecznością dochowania należytej staranności w ocenie przetwarzania danych i wiąże się z koniecznością uiszczenia jednorazowej opłaty w wysokości 2 000 zł + 23% podatku VAT.


Dodatkowo nazwa.pl informuje, że po pozytywnym wyniku audytu przesłana zostanie do Państwa umowa Powierzenia Przetwarzania Danych Osobowych. Umowa zostanie przygotowana przez dedykowany zespół prawny. Dzięki temu zyskują Państwo pewność, że wszystkie dane będą przechowywane i przetwarzane w prawidłowy sposób przez cały okres świadczenia usługi Powierzenia Przetwarzania Danych Osobowych. Miesięczny koszt usługi Powierzenia Przetwarzania Danych Osobowych wynosi 500 zł + 23% podatku VAT.


Proforma za usługę audytu zostanie do Państwa wysłana po otrzymaniu informacji zwrotnej od Państwa, a wzór nowej umowy Powierzenia Przetwarzania Danych Osobowych znajduje się w załączniku.
Podsumowując: by zawrzeć umowę wymaganą przez przepisy RODO na powierzenie przetwarzania danych osobowych MUSIMY zgodzić się na audyt w cenie 2000 zł + VAT oraz opłacać co miesiąc umowę w kwocie 500 zł + VAT.

Najtańszy hosting w nazwa.pl kosztuje 369 zł (z VAT). No to teraz będzie kosztował 7749 zł (z VAT) rocznie przy posiadanej umowie o powierzenie przetwarzania danych osobowych.

Czy faktycznie umowa jest konieczna?

TAK. Umowa powierzenia przetwarzania danych osobowych jest konieczna jeśli chcemy zadość uczynić przepisom. Dane osobowe wprowadzone np. do hostowanego sklepu fizycznie znajdują się w bazach danych na serwerze usługodawcy. I on w naszym imieniu, zgodnie z naszymi celami (jakim jest działanie sklepu) je przetwarza bowiem wszystkie czynności fizycznie zachodzą na serwerze usługodawcy. On także wykonuje kopie zapasowe danych, przenosi je w czasie zmian na serwerze. Ogólnie rzecz biorąc ma do nich dostęp. Czyli de facto plecamy mu by je przetwarzał w celu działania naszych systemów.

Czy faktycznie audyt jest konieczny?

Wypadało by sprawdzić swój system ale żaden audyt NIE JEST obowiązkowy. Tym bardziej wymuszany przez usługodawcę. W umowie powierzenia jasno deklarujemy w jakim zbiorze przetwarzanie jest powierzone, w jakim celu oraz jakie dane. Aby te dane gromadzić i przetwarzać Administrator Danych (czyli wy, wasza firma, lub wasz klient) musi mieć podstawę prawną: zgodę właściciela danych (osoby fizycznej) lub robi to w wyniku obowiązku prawnego nałożonego przez prawo (np. umowa kupna - Kodeks cywilny). Audyt może zlecić Administrator Danych. Usługodawcę hostingu tj. podmiotowi któremu powierzamy nie powinno interesować skąd te dane mamy bowiem nie jest ich ani Administratorem ani nawet Współadministratorem. On je jedynie przetwarza w celu określonym przez Powierzającego. Ma je chronić a legalność ich przetwarzania spoczywa na Powierzającym jako Administratorze Danych.

Dlatego też to co robi nazwa.pl może nie jest bezprawne ale jest ekstremalnym wykorzystaniem sytuacji. To okazanie strasznej pogardy swoim klientom i potraktowanie ich jak worka pieniędzy. Sprawa dotyczy mnie bezpośrednio - moi klienci maja systemy w nazwa.pl, także instytucja w której pracuję. Jednak to nie tak, że w złości chcę oczernić nazwa.pl. Otwieram ten temat by uświadomić kolegom i koleżankom na forum w jaki sposób firmy mogą wykorzystać wchodzące przepisy a także ich obowiązki wynikające z RODO. Być możne ktoś z was ma również systemy w nazwa.pl i przetwarza tam dane osobowe. Prędzej czy później "nadzieje się" na ich "ofertę" audytu. Czas poszukać nowego hostingu.