Czy należy zawierać umowę powierzenia przetwarzania danych z firmami świadczącymi usługi hostingowe (strony internetowe oraz poczta elektroniczna)?

Tak, jeśli usługa polega na zarządzaniu danymi osobowymi do których usługodawca hostingu ma dostęp. Tym samym oceniając zasadność podpisania umowy powierzenia, należy rozpatrzyć czy podmiot ma faktyczną możliwość dokonywania czynności na danych osobowych (art. 4 pkt. 2 RODO). Jeśli bowiem usługa hostingu sprowadza się np. wyłącznie do udostępnienia przestrzeni przez usługodawcę (bez możliwości dostępu do danych), nie ma zasadności podpisywania umowy powierzenia.

Uzasadnienie:

Zgodnie z art. 4 pkt. 7 RODO, Administrator decyduje o celach i środkach przetwarzania danych osobowych. W przypadku powierzenia danych osobowych, podmiot dokonuje czynności na danych osobowych w imieniu Administratora (art. 4 pkt 8 RODO). W tym przypadku nie zmienia się zatem podmiot, który decyduje o celach i środkach przetwarzania danych, a więc zachodzi relacja Administrator - Podmiot przetwarzający.

W celu zapewnienia zgodności i przestrzegania przepisów RODO, Administrator dając możliwość dokonywania w jego imieniu czynność na danych osobowych podmiotowi zewnętrznemu, powinien podpisać stosowną umowę, gwarantującą prawidłowy proces ich przetwarzania. Umożliwiając wykonywanie czynności w swoim imieniu, Administrator zgodnie z art. 28 w nawiązaniu do motywu 81 RODO, ma obowiązek zapewnić, że powierzenie przetwarzania danych osobowych, odbywa się wyłącznie na podstawie umowy lub innego instrumentu prawnego.

Bez względu na to czy zachodzą podstawy do podpisania umowy powierzenia czy też nie, należy korzystać w usług takich podmiotów, które dają gwarancję właściwego zabezpieczenia danych.