Ochrona danych osobowych w OVH
Zapoznaj się z polityką dotyczącą wykorzystywania danych osobowych OVHcloud
Zmiany w “Umowie powierzenia przetwarzania danych osobowych”OVHcloud
Umowa powierzenia przetwarzania danych osobowych (zwana dalej „Umową powierzenia”) została zmieniona w celu odzwierciedlenia nowych wymogów wynikających z RODO i mających zastosowanie do przekazywania Danych Osobowych do państw trzecich, a w szczególności z Decyzji wykonawczej Komisji (UE) 2021/914 w sprawie standardowych klauzul umownych publikowanych w związku z przekazywaniem danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO), która została przyjęta przez Komisję Europejską w dniu 4 czerwca 2021 r.
Kliknij tutaj, aby zapoznać się z nową wersją Umowy powierzenia przetwarzania danych osobowych obowiązującą od 27 września 2021 r.
Należy pamiętać, że w przypadku korzystania lub zamiaru korzystania z usług OVHcloud zlokalizowanych w pozaeuropejskich Centrach Danych w celu przetwarzania Danych osobowych będących przedmiotem RODO, należy wdrożyć nowe wyżej wymienione Standardowe Klauzule Umowne, a także wszelkie środki uzupełniające, które mogą być wymagane, biorąc pod uwagę kategorie danych osobowych, których dotyczą, oraz prawo lub praktyki państw trzecich. W celu uzyskania dodatkowych informacji, prosimy o kontakt z Inspektorem Ochrony Danych OVHcloud."
Jeśli nie przetwarzasz danych osobowych w ramach usług OVHcloud zlokalizowanych w pozaeuropejskich Centrach Danych, powyższa zmiana nie ma zastosowania.
Information regarding Brexit
Despite the end of the transition period during which the United Kingdom continued to apply European Union law, that occurred on December 31st, transfers of personal data to the United Kingdom will be able to continue, at least provisionally, without the need to apply Chapter V of the General Data Protection Regulations ("GDPR") relating to data transfers to countries outside the European Union.
Indeed, the European Union and the United Kingdom have agreed, as part of the Trade and Cooperation Agreement of December 24, that as of January 1, the effective date of the said agreement, the United Kingdom will not be considered as a third country to the Union for transfers of personal data, for a new transitioning period of four (4) months that may be, if necessary, extended for two (2) additional months, i.e. until July 1st (the “specified period”).
This is applicable provided that the said agreement is effectively ratified by both parties and that no substantial changes are made to the data protection regime of the United Kingdom on December 31, 2020 without the approval of the European Union. This should remain the case insofar as both the United Kingdom and the European Union have an interest in facilitating data flows.
In this case, the OVHcloud services located in the United Kingdom will be able to continue to process personal data under unchanged conditions until the end of the said specified period.
Please note, however, that if you do not have an establishment in the European Union, but are processing, as a processor or data controller, from the United Kingdom, data of persons who are in the territory of the Union as provided for in Article 3 of the GDPR, you are required since January 1 to appoint a representative in the Union, in accordance with Article 27 of the GDPR.
This new transitional arrangement should allow time for the European Commission to decide, pursuant to Article 45 of the GDPR, whether or not the United Kingdom has an adequate level of protection of personal data.
If so, the Commission will issue an adequacy decision and data transfers to the United Kingdom will be able to continue on such a basis without need to further formalities at the end of the specified period.
Conversely, in the absence of an adequacy decision, data transfers from the Union to the United Kingdom may no longer take place at the end of the specified period, unless appropriate safeguards are put in place as provided for in Article 46 of the GDPR, and notably if rights are recognized and effective remedies are available in the United Kingdom for European data subjects.
What would be the impacts for OVHcloud customers if the European Commission does not provide adequacy decision by the end of the specified period? In particular in relation to their use of OVHcloud services?
Several situations must be distinguished:
You are a customer of an OVHcloud European entity and only use OVHcloud services hosted in European Data Centers (excluding services hosted in the OVHcloud data center located in the United Kingdom)
Indeed, in this case, your data remains hosted in the European Union, and OVHcloud refrains from unilaterally changing such location and in particular from transferring your data to its data center in the United Kingdom.
In addition, OVHcloud teams located in the United Kingdom would not be in charge of the administration of the services provided to European customers (except OVHcloud UK customers) hosted in European data centers. As a result, no processing of data associated with the said Services would be carried out remotely from the United Kingdom.
Finally, if OVHcloud was to receive a request from a United Kingdom authority to obtain communication of the data you host in one of its European data centers, OVHcloud would, in accordance with its policy, oppose such a request unless it is made in accordance with Article 49 of the GDPR or an international agreement, such as a mutual legal assistance treaty, in force with the United Kingdom.
Warning: If you are working from the United Kingdom on the data and solutions that you host as part of your OVHcloud European services, or if you use a third-party service provider located in the United Kingdom, you should ensure that the appropriate safeguards are in place on your side according to article 46 of the GDPR.
You are a customer of an OVHcloud European entity and use services hosted in the OVHcloud Data Center located in the United Kingdom.
In this context, in accordance with its contractual commitments, and in particular Article 6 "Location and transfers of personal data" of the Appendix "Processing of Personal Data", OVHcloud would set up a data transfer agreement in accordance with the standard contractual clauses adopted by Decision No. 2010/87/EU of the European Commission of February 5, 2010 (the "Standard Contractual Clauses") or equivalent.
Nevertheless, while the implementation of these standard contractual clauses is, in accordance with Article 46 of the GDPR, a necessary prerequisite for such data transfers in non-adequate third countries, it does not systematically constitute by itself a sufficient guarantee; supplementary measures may be necessary.
In absence of adequacy decision from the European Commission concerning the United Kingdom by the end of the specified period, you should therefore ensure that, in addition to the above-mentioned standard contractual clauses, appropriate supplementary measures (such as encryption of your data) are put in place if necessary in the light of your activity and the new legal order of the United Kingdom.
In this respect, OVHcloud invite you to follow the 01/2020 recommandations adopted on November 10 by the European Data Protection Board (“EDPB”).
Likewise, if you operate from the United Kingdom on the data and solutions that you host as part of your OVHcloud services, or if you use a third party service provider located in the United Kingdom, you should ensure, in the absence of adequacy decision, that the appropriate safeguards are put in place according to article 46 of the GDPR.
OVHcloud also remain at your disposal should you have any questions regarding the security measures implemented by OVHcloud.
You are a customer of OVH Limited, a UK-based entity of OVHcloud.
In addition, as a company governed by English law, OVH Limited falls under the jurisdiction of the United Kingdom, it may have to respond to requests from the authorities of the United Kingdom, notably judicial or governmental authorities, to communicate data hosted by its customers in its services.
Therefore, if the European Commission does not issue an adequacy decision concerning the United Kingdom by the end of the specified period, and you wish to use the OVHcloud services to process personal data submitted to the GDPR, you should, in accordance with Article 46 of the GDPR, ensure that appropriate safeguards are in place.
As such, OVH Limited will support you and implement a data transfer agreement that complies with the standard contractual clauses adopted by the European Commission Decision No. 2010/87/EU of February 5, 2010 (the "Standard Contractual Clauses") or equivalents.
Nevertheless, if in this case, the Standard Contractual Clauses are a necessary prerequisite pursuant to Article 46 of the GDPR, they do not always constitute by themselves a sufficient guarantee. Therefore, it will be up to you to put in place any supplementary measures (such as encryption of your data) that may be necessary in view of your processing activities and the new legal framework of the United Kingdom.
In this respect, OVHcloud invite you to follow the 01/2020 recommandations adopted on November 10 by the European Data Protection Board (“EDPB”).
OVHcloud also remain at your disposal for any questions concerning the security measures implemented by OVHcloud.
Concerning the personal data collected and processed by OVHcloud as “data controller”.
OVH Limited, an OVHcloud entity located in the United Kingdom, may participate in the above data processing activities.
If the European Commission does not provide adequacy decision concerning the United Kingdom by the end of the specified period, OVHcloud will put in place appropriate safeguards in accordance with Article 46 of the GDPR and the commitments stipulated in Part 2 of the Annex "Processing of Personal Data".
For more details regarding the data collected and the processing carried out on such data, you may consult Part 2 of the above-mentioned Annex "Processing of Personal Data"; being specified that the data you host and use in the context of your OVHcloud services are not concerned.
Powstała w 1999 r., firma OVH jest dzisiaj jednym z głównych dostawców rozwiązań chmurowych na świecie obecnym w 19 krajach. Naszym priorytetem jest satysfakcja ponad miliona naszych klientów oraz bezpieczeństwo ich danych osobowych.
Wybór OVH jako firmy hostującej dane wiąże się dla klienta z decyzją o powierzeniu wrażliwych informacji podmiotowi zewnętrznemu. Jesteśmy świadomi wyzwań, jakie się z tym wiążą, w szczególności w zakresie zgodności z regulacjami prawnymi. Dlatego też udostępniamy kompendium wiedzy dotyczące ochrony danych osobowych.
Regulacje prawne dotyczące ochrony danych osobowych
Istnieje kilka dokumentów regulujących kwestię ochrony danych osobowych stworzonych na szczeblu międzynarodowym, europejskim oraz lokalnym. Najważniejsze z nich to:
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych.
- Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady (UE) z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, uchylona 25 maja 2018 roku Rozporządzeniem (UE) 2016/679.
- Rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, uchylająca dyrektywę 95/46/CE (ogólne rozporządzenie o ochronie danych osobowych).
- Karta praw podstawowych Unii Europejskiej (2012/C 326/02).
- Konwencja o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych.
OVH zobowiązuje się stosować do postanowień wymienionych wyżej regulacji, w szczególności Ogólnego rozporządzenia o ochronie danych (RODO). Dzięki zobowiązaniu firmy OVH jej klienci są również w stanie spełnić część wymagań prawnych dotyczących ochrony danych. Wszystkim naszym klientom rekomendujemy dokładanie szczególnej staranności, aby w swoich działaniach zachowywały zgodność z obowiązującym prawem. Należy wziąć pod uwagę również inne uregulowania prawne dotyczące niektórych danych osobowych o specyficznym charakterze. Są to na przykład dane medyczne, wojskowe, etc... Do klienta należy zidentyfikowanie odpowiednich przepisów regulujących jego działalność i spełnienie stosownych wymagań. Kluczowym elementem umożliwiającym wypełnianie obowiązków w zakresie ochrony danych osobowych jest wybór odpowiedniego dostawcy rozwiązań chmurowych.
Data Protection Officer (DPO) w OVH: specjalista czuwający nad wypełnianiem przepisów dotyczących ochrony danych
„Firma OVH podjęła decyzję o utworzeniu stanowiska Data Protection Officer (DPO), którego zadania zostały określone w ustawodawstwie europejskim. Data Protection Officer jest całkowicie niezależny w wypełnianiu swojej misji: jest gwarantem zgodności działań prowadzonych przez OVH w zakresie przetwarzania danych z obowiązującymi przepisami.”
Grégory Gitsels - Data Protection Officer
Grégory Gitsels, Data Protection Officer, dysponuje zasobami niezbędnymi do sprawowania swojej funkcji, dba, aby nie dochodziło do konfliktu interesów i zachowuje przy tym pełną neutralność. Doradza pracownikom operacyjnym oraz kadrze kierowniczej OVH w kwestiach dotyczących wypełniania obowiązków oraz stosowania dobrych praktyk w zakresie ochrony danych osobowych. Prowadzi regularną edukację oraz szkolenia dla pracowników grupy, odpowiada na ich pytania dotyczące prywatności, wdraża zasady "privacy by design" oraz "privacy by defaut", w szczególności w przypadku nowych ofert dla klientów, ponadto jest odpowiedzialny za relacje z organami nadzorczymi. Jest również osobą kontaktową dla wszystkich klientów, którzy chcą mieć gwarancję, że podejmują właściwe kroki w celu zapewnienia zgodności z obowiązującymi przepisami, w tym RODO.
