RODO - Dzierżawione serwery, firmy hostingowe i ich klienci

[Desavil]

Cześć!

 

Sytuacja wygląda w ten sposób - jest firma udostępniająca usługi hostingowe (np. www, vpsy), firma nie dysponuje własnym centrum danych (zresztą takich firm hostingowych na naszym rynku jest sporo), w związku z tym dzierżawi serwery dedykowane od różnych usługodawców i uruchamia na nich usługi dla swoich klientów oraz zapewne własne systemy (bazy danych, panel klienta, panel hostingowy itd.).

 

Z dostawcami serwerów dedykowanych, które są używane i znajdują się na nich jakiekolwiek dane osobowe, wypadałoby podpisać umowy powierzenia przetwarzania danych osobowych zgodne z RODO. I tutaj pojawiają się problemy. Umowa powierzenia przetwarzania danych osobowych zgodna z RODO powinna zawierać m.in. takie elementy jak:

- rodzaj danych osobowych;

- charakter i cel przetwarzania;

- kategorie osób, których dane dotyczą;

- czas trwania powierzenia;

 

O ile w przypadku własnych systemów i baz danych jesteśmy w stanie to wykazać bez większych problemów (ponieważ wiemy jakie dane przetwarzamy w swojej firmie), tak już sytuacja komplikuje się w przypadku klientów usług. Klienci mogą mieć nieskończoną ilość i kombinacji w/w elementów, a ponadto mogą one się zmieniać z godziny na godzinę (jedna usługa jest kasowana, inny klient zakupuje nową i uruchamia coś innego). Mogą być sklepy erotyczne, skrzynki pocztowe, np. firm kadrowych, księgowych, jakieś systemy CRM, nawet strona prywatnej kliniki/dentysty/okulisty pozwalająca zapisać się online do danego lekarza, a tutaj już mogą pojawić się znów dane wrażliwe, które podlegają nieco innemu traktowaniu.

 

Niektórzy klienci podpisują umowy powierzenia, inni nie. Jeżeli podpisują, wiemy jak w/w elementy wyglądają. Należy pamiętać też, że usługodawca nie ma obowiązku, a wręcz prawa do przeglądania plików jakie posiadają klienci i jakie dane się tam znajdują. Jedynie po charakterze działalności danego klienta można się domyślać jakie dane może gromadzić i przechowywać u nas.

 

Moje pytanie brzmi - co w związku z powyższym powinny zawierać w/w elementy na umowie powierzenia przetwarzania danych osobowych pomiędzy nami, a firmami od których dzierżawimy serwery dedykowane? Nawet jeżeli wiemy jakie zbiory mają nasi klienci, z którymi podpisaliśmy umowę, to nie rozwiązuje to tego problemu, ponieważ umowy te mogą być zawierane i rozwiązywane nawet codziennie z nowymi/starymi klientami. W związku z tym aktualizacji wymagałyby nasze umowy z dostawcami serwerów dedykowanych i te aktualizacje też musiałby się odbywać codziennie? - Poczta Polska nie nadążałaby z dostarczaniem nowych umów, a już te byłyby nie aktualne. Zresztą, żadna firma nie pisałaby się na coś takiego i piszę to bardziej jako żart.

 

Ja Wy to rozwiązujecie? Czy jakimś rozwiązaniem może być w tym wypadku wpisanie po prostu wszystkich rodzajów danych osobowych jakie istnieją (co znów wtedy z danymi wrażliwymi), charakter i cel przetwarzania to np. świadczenie usługi hostingu, kategorie osób, których dane dotyczą, np. klienci?

 

Już sam nie wiem co o tym myśleć. Niestety nawet różne firmy szkoleniowe oraz wykonujące audyt, z którymi współpracowałem rozkładają ręce w tym zakresie...

 

Pozdrawiam!

Edytowane 13 Maja 2018 przez Desavil

[theqkash]

Po pierwsze - umowy powierenia przetwarzania nie muszą być podpisywane fizycznie. Można to zrobić skanem lub nawet wyrażając odpowiednią zgodę online. 

 

Większość firm oferujących serwery dedykowane, które znam, posiada już odpowiednie dokumenty, w których to firmy te które definiują swoje obowiązki jako podmioty, którym powierzasz dane osobowe.

 

1 godzinę temu, Desavil napisał:

- rodzaj danych osobowych;

- charakter i cel przetwarzania;

- kategorie osób, których dane dotyczą;

- czas trwania powierzenia;

Można to w prosty sposób określić:
 

Cytuj

Firma X udostępnia firmie Y środowisko techniczne do gromadzenia i przetwarzania dowolnych danych osobowych dla dowolnych osób. Firma X przetwarza te dane w związku ze świadczeniem usługi dzierżawy serwerów na tak długi czas jak umowa dzierżawy z firmą Y obowiązuje. 

 

Realizujesz w ten sposób wszystkie wymagania RODO względem ewentualnej umowy. 

 

Generalnie jestem zdania, że przepisy te powstały po to, aby definiować pewne obowiązki i role określonych firm i osób w procesie przetwarzania danych. Nie ma co popadać tutaj w paranoję, że trzeba odpowiednio wskazywać odpowiednie rzeczy w umowach z podmiotami nadrzędnymi. Wystarczy w prosty sposób określić co robi firma która świadczy nam usługi hostingowe czy dzierżawi nam maszynę z danymi jakie zostaną tam zgromadzone przez nas, a jeżeli ta firma używa ich tylko do świadczenia usługi hostingu to w ogóle raczej nie ma tu powodu do obaw.

[Desavil]

Godzinę temu, theqkash napisał:

Po pierwsze - umowy powierenia przetwarzania nie muszą być podpisywane fizycznie. Można to zrobić skanem lub nawet wyrażając odpowiednią zgodę online. 

 

Zgadza się - i tak przewidujemy właśnie zrobić dla naszych klientów, aby uprościć sprawę i jednocześnie w maksymalny sposób zachęcić naszych klientów do podpisywania takiej umowy (sam checkbox nie wystarczy, bo trzeba podać elementy, które każdy ma inne, więc bardziej coś na zasadzie generatora). Tyle od nas. Jednak po stronie większości usługodawców - dużych typu OVH już to nie przejdzie (gdzie właśnie tutaj mamy największy problem).

 

 

Godzinę temu, theqkash napisał:

Większość firm oferujących serwery dedykowane, które znam, posiada już odpowiednie dokumenty, w których to firmy te które definiują swoje obowiązki jako podmioty, którym powierzasz dane osobowe.

 

To niestety coś innego, niż umowa powierzenia, która powinna spełniać odpowiednie warunki, które określa ustawa.

 

 

Godzinę temu, theqkash napisał:

Można to w prosty sposób określić:
 

Realizujesz w ten sposób wszystkie wymagania RODO względem ewentualnej umowy. 

 

Chyba niestety niezupełnie. Choć lepsze takie coś w umowie, niż pominięcie tego całkowite.

[theqkash]

2 minuty temu, Desavil napisał:

To niestety coś innego, niż umowa powierzenia, która powinna spełniać odpowiednie warunki, które określa ustawa.

Zgadza się, ale na tej podstawie możesz przygotować odpowiedni dokument, który możesz zawrzeć ze swoim usługodawcą, skoro sam tego nie zrobił (a OVH z tego co wiem tego nie uczyniło).
 

 

4 minuty temu, Desavil napisał:

Chyba niestety niezupełnie. Choć lepsze takie coś w umowie, niż pominięcie tego całkowite.

Ten zapis definiuje wszystkie te kwestie. Zresztą każda inna opcja byłaby tu bez sensu.

[Hostingja]

3 godziny temu, theqkash napisał:

Po pierwsze - umowy powierenia przetwarzania nie muszą być podpisywane fizycznie. Można to zrobić skanem lub nawet wyrażając odpowiednią zgodę online. 

 

Większość firm oferujących serwery dedykowane, które znam, posiada już odpowiednie dokumenty, w których to firmy te które definiują swoje obowiązki jako podmioty, którym powierzasz dane osobowe.

 

Można to w prosty sposób określić:
 

 

Realizujesz w ten sposób wszystkie wymagania RODO względem ewentualnej umowy. 

 

Generalnie jestem zdania, że przepisy te powstały po to, aby definiować pewne obowiązki i role określonych firm i osób w procesie przetwarzania danych. Nie ma co popadać tutaj w paranoję, że trzeba odpowiednio wskazywać odpowiednie rzeczy w umowach z podmiotami nadrzędnymi. Wystarczy w prosty sposób określić co robi firma która świadczy nam usługi hostingowe czy dzierżawi nam maszynę z danymi jakie zostaną tam zgromadzone przez nas, a jeżeli ta firma używa ich tylko do świadczenia usługi hostingu to w ogóle raczej nie ma tu powodu do obaw.

 

To nie jest prawda. Należy podać w umowie konkretnie jakie typy danych i jakiej grupy osob. Od tego zależy zabezpieczenie ich przez przetwarzajacego oraz inne obowiązki do których te informacje są wymagane. Napisanie wszystkie dane, jakiekolwiek dane, jakichkolwiek osób nie jest zgodne z gdpr. Tak przy powierzeniu i podpowierzeniu. Procesor i podprocesor muszą mieć konkretne info.

 

W hostingu masowym generuje to problem ale co poradzisz.

[theqkash]

7 godzin temu, Hostingja napisał:

Napisanie wszystkie dane, jakiekolwiek dane, jakichkolwiek osób nie jest zgodne z gdpr.

Masz na to podstawę prawną? 
Ja szukałem i nie znalazłem. Nie widzę powodu dla którego nie mógłbym w takiej umowie określić, że przechowywane są dowolne dane.

[Hostingja]

W dniu 14.05.2018 o 07:41, theqkash napisał:

Masz na to podstawę prawną? 
Ja szukałem i nie znalazłem. Nie widzę powodu dla którego nie mógłbym w takiej umowie określić, że przechowywane są dowolne dane.

Art. 28 wymaga podania kategorii osób i danych. Kategoria to nie wszystkie.

Dodatkowo Art 28 mówi o obowiązku zastosowania Art.32 w którym to jest obowiązek analizy ryzyka przez procesora. Także w motywie 81. No powodzenia w robieniu analizy ryzyka dla danych wszystkich, wszystkich osób wraz z tymi których nie wolno przetwarzać. Nie mówiąc już o Art. 5 w którym są określone zasady mówiące coś o rzetelności. Innych Art zakazujacych przetwarzania pewnych danych i specjalnych wymaganiach przy przetwarzaniu pewnych danych. 

Mamy też obowiązki Art 28 mówiące o pomocy adminowi. Jak to się robi nie wiedząc jakie się dane dostało do przetwarzania. Tak więc wpisanie wszystko to nie rozwiazanie.

[theqkash]

6 minut temu, Hostingja napisał:

No powodzenia w robieniu analizy ryzyka dla danych wszystkich, wszystkich osób wraz z tymi których nie wolno przetwarzać.

W domyśle raczej przy tego typu dokumentach jest stwierdzone, że dane których nie wolno przetwarzać nie stanowią danych będących przedmiotem umowy.

Ciężko natomiast przy tego typu zastosowaniu mówić o konkretnym wskazaniu rodzajów danych z uwagi na mnogość zastosowań kont hostingowych i o ile wiem nawet duże poważne firmy wyszły z tego we wspomniany przeze mnie tutaj sposób, a jakoś nie wierzę żeby te wszystkie firmy nie miały kogoś kto im to przeanalizował.

[Hostingja]

1 minutę temu, theqkash napisał:

W domyśle raczej przy tego typu dokumentach jest stwierdzone, że dane których nie wolno przetwarzać nie stanowią danych będących przedmiotem umowy.

Ciężko natomiast przy tego typu zastosowaniu mówić o konkretnym wskazaniu rodzajów danych z uwagi na mnogość zastosowań kont hostingowych i o ile wiem nawet duże poważne firmy wyszły z tego we wspomniany przeze mnie tutaj sposób, a jakoś nie wierzę żeby te wszystkie firmy nie miały kogoś kto im to przeanalizował.

Ich problem nie po to się podpisuje umowę powierzenia żeby w niej glupoty podawać tylko żeby przekazać informacje potrzebne do wykonania obowiązków.

[theqkash]

1 minutę temu, Hostingja napisał:

glupoty

Myślę, że to zbyt duże uproszczenie. 

Za chwilę przez takie podejście prowadzenie dowolnej działalności w internecie będzie wybitnie trudne, a o ile wiem nie o to w tym wszystkim chodzi.

[Desavil]

Niestety, ale trzeba po prostu wybrać mniejsze zło.

W tym przypadku nie jest możliwe wskazanie dokładnie tych elementów. :(

[Hostingja]

Teraz, theqkash napisał:

Myślę, że to zbyt duże uproszczenie. 

Za chwilę przez takie podejście prowadzenie dowolnej działalności w internecie będzie wybitnie trudne, a o ile wiem nie o to w tym wszystkim chodzi.

Ja będąc procesorem czy podprocesorem nigdy bym nie podpisał umowy z wszystkimi danymi bo to uniemożliwia wykonanie obowiązków procesora. Każdy admin podaje jakie dane daje procesorowi a procesor podaje to dalej podprocesorowi.

[nn55]

W mojej ocenie (M.IN.) art. 28 ust.3 pkt h) RODO jest nie możliwy do zaakceptowania przez jakikolwiek hosting, który zwraca jakąkolwiek uwagę na bezpieczeństwo swoich usług. Oto jak zacząłem  odpisywać klientom swojego hostingu na pytania o podpisanie umowy o powierzenie przetwarzania danych osobowych:

 

Cytuj

Niestety nasza dotychczasowa analiza RODO wykazuje że obowiązki narzucane tam podmiotowi przetwarzającemu wynikające z  art. 28 ust. 3 pkt h)  (obowiązek udostępniania systemów informatycznych do kontroli i autów administratorowi danych - klientowi hostingu) nie są zgodne z polityką bezpieczeństwa naszej firmy, która uniemożliwia udostępnianie naszych systemów informatycznych oraz jakichkolwiek bardziej szczegółowych informacji dot. ich działania komukolwiek (w tym także nawet pracownikom naszej firmy) ponieważ stanowi to m.in. niezbędną "warstwę bezpieczeństwa" dla błędów "0-day" w licznym stosowanym przez nas oprogramowaniu open source. Oznacza to najprawdopodobniej że RODO likwiduje większość naszej działalności (brak możliwości bycia przetwarzającym dane osobowe w rozumieniu RODO).

 

Edytowane 20 Maja 2018 przez nn55

[kankan]

hetzner z tego co widzialem w umowie deklaruje, że audyt może wykonać certyfikowana firma i klient będzie obciążony jego kosztem, wiadomo przecież, że nie da rady inaczej w takim przypadku… 

[Suspect]

Kto pisał, że umowy bez precyzowania rodzaju przetwarzanych danych są niemożliwe, mylił się i OVH to dziś udowodniło. Dziś został rozesłany mailing ze szczegółowymi informacjami na temat RODO. Zawarcie umowy powierzenia przetwarzania danych osobowych firmie OVH sprowadza się do kilku kliknięć w panelu, całość przebiega oczywiście drogą elektroniczną.

[Hostingja]

Jak napadne na bank i mi się uda to też udowodnie że się da   

[Suspect]

Czyli prawnicy tak dużej firmy jak OVH nie są w stanie ocenić co jest zgodne z prawem a co nie? Tak duże firmy nie mogą sobie pozwolić na działanie niezgodne z prawem ponieważ byłoby to dla nich dosyć kosztowne biorąc pod uwagę skalę działalności i generowany obrót.

[Hostingja]

https://www.pb.pl/google-i-facebook-oskarzone-o-lamanie-rodo-930491

[nrm]

16 godzin temu, Suspect napisał:

Kto pisał, że umowy bez precyzowania rodzaju przetwarzanych danych są niemożliwe, mylił się i OVH to dziś udowodniło. Dziś został rozesłany mailing ze szczegółowymi informacjami na temat RODO. Zawarcie umowy powierzenia przetwarzania danych osobowych firmie OVH sprowadza się do kilku kliknięć w panelu, całość przebiega oczywiście drogą elektroniczną.

 

A bo tylko OVH. "Pół świata" tak zrobiło i słusznie. Nadgorliwość jest gorsza od faszyzmu. A specjaliści z N. cóż...  To ten typ, wiesz, papierem, z pieczątką i podpisem. I pocztą