Tak, firma hostingowa powinna wystawić (lub zawrzeć) umowę powierzenia przetwarzania danych osobowych, jeśli w ramach swoich usług przetwarza dane osobowe w imieniu klienta.
Podstawa prawna: art. 28 RODO (Rozporządzenia Ogólnego o Ochronie Danych Osobowych):
„Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, ten korzysta wyłącznie z takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje […] oraz wdrożenia odpowiednich środków technicznych i organizacyjnych […].”
Administrator danych (np. firma korzystająca z hostingu) musi zawrzeć umowę powierzenia przetwarzania z firmą hostingową (która działa jako podmiot przetwarzający), jeśli dane osobowe są przetwarzane w ramach usługi.
Kiedy trzeba zawrzeć taką umowę?
Umowa powierzenia danych osobowych jest konieczna, gdy:
- Na hostingu przechowywane są np. bazy danych z danymi klientów, użytkowników, pracowników itp.
- Hosting zapewnia infrastrukturę, w ramach której odbywa się przetwarzanie danych osobowych (np. przez aplikacje internetowe, sklepy online).
Nie trzeba zawierać takiej umowy, jeśli:
- Hosting nie ma dostępu do danych (np. są one zaszyfrowane w taki sposób, że operator nie ma możliwości ich odczytu).
- Usługa jest wykorzystywana tylko do przechowywania danych technicznych lub niespersonalizowanych (bez danych osobowych).
Co powinna zawierać taka umowa?
Umowa powinna określać m.in.:
- cel i zakres przetwarzania danych,
- kategorie danych i osób, których dane dotyczą,
- obowiązki i prawa administratora i przetwarzającego,
- zasady dotyczące bezpieczeństwa i poufności,
- warunki korzystania z podwykonawców,
- sposób postępowania po zakończeniu świadczenia usługi.
————————————————————————————————-
Na życzenie klienta, możemy przygotować wzór takiej umowy lub sprawdzić, czy Twoja umowa z hostingiem spełnia wymogi RODO.