Jakie są skutki wejścia w życie RODO?

Wprowadzenie

Thumbnail

Ogólne rozporządzenie o ochronie danych osobowych (RODO) jest dokumentem określającym ramy prawne przetwarzania danych osobowych w Europie, który wchodzi w życie 25 maja 2018. W przeciwieństwie do dyrektywy 95/46/CE, która dotychczas określała zasady przetwarzania danych, rozporządzenie RODO będzie dokumentem stosowanym bezpośrednio i nie będzie wymagało transpozycji do systemu prawnego kraju członkowskiego UE. Będzie tym samym sprzyjało ujednoliceniu porządków prawnych dotyczących ochrony danych osobowych w Europie. W RODO zawarta jest ponadto zasada eksterytorialności, która umożliwia, w pewnych okolicznościach, stosowanie postanowień rozporządzenia poza granicami Europy.

Jeśli Twoja organizacja jest podmiotem przetwarzającym dane osobowe, najprawdopodobniej podlega ona postanowieniom RODO. W związku z tym ciąży na niej obowiązek spełnienia odpowiednich wymagań przepisów prawnych. Firma OVH ma obowiązek zastosować się do odrębnych wymagań - właściwych dla podmiotów przetwarzających lub administratorów danych.

Definicje

Właściwe rozumienie wymagań rozporządzenia RODO nie jest sprawą oczywistą, biorąc pod uwagę, że zawiera ono 99 artykułów, 173 motywy i liczne wytyczne dotyczące jego interpretacji. Tymczasem precyzyjne zrozumienie tego dokumentu jest kluczowe, gdyż pozwoli uniknąć ryzyka wynikającego ze złej interpretacji obowiązków, którym podlega Twoja organizacja. Dlatego poniżej przedstawiamy definicje podstawowych pojęć:

  • dane osobowe: wszelkie dane dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą fizyczną możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio;
  • przetwarzanie danych: operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany (zbieranie, utrwalanie, przesyłanie, archiwizowanie, przechowywanie, pobieranie, przeglądanie, wykorzystywanie, łączenie, etc.);
  • administrator: osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;
  • podmiot przetwarzający: osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

OVH jako podmiot przetwarzający dane

Thumbnail

OVH występuje w charakterze podmiotu przetwarzającego, kiedy przetwarza dane osobowe w imieniu administratora. Klienci mają największe oczekiwania wobec OVH właśnie w tym zakresie. To typowy przypadek, kiedy klient korzysta z usług firmy OVH i przechowuje dane osobowe na jej serwerach. OVH, w miarę swoich możliwości technicznych, będzie przetwarzało dane w imieniu klienta i wyłącznie zgodnie z jego instrukcjami.

OVH jako podmiot przetwarzający dane

OVH jako podmiot przetwarzający zobowiązuje się do:

  • przetwarzania danych wyłącznie do celów związanych z właściwą realizacją usług: OVH w żadnym przypadku nie będzie przetwarzać Twoich danych w innych celach (np. marketingowych, etc.);
  • nieprzekazywania danych klienta poza obszar UE ani poza terytorium krajów uznanych przez Komisję Europejską za kraje gwarantujące wystarczający poziom ochrony danych: z zastrzeżeniem przypadku, kiedy klient sam wybierze centrum danych w strefie geograficznej poza UE;
  • informowania klienta o każdym przypadku korzystania z usług podwykonawców, którzy mogliby przetwarzać dane osobowe klienta: aktualnie żadna z usług, w ramach której klient przechowuje dane na serwerach OVH nie jest zlecona podwykonawcy spoza grupy OVH;
  • stosowania najwyższych standardów bezpieczeństwa w celu maksymalnego zabezpieczenia usług.
  • powiadamiania klienta w jak najszybszym terminie o przypadkach naruszenia ochrony danych osobowych;
  • pomagania klientowi w wypełnianiu obowiązków regulacyjnych poprzez zapewnienie mu odpowiedniej dokumentacji usług OVH.

Inicjatywy OVH w Europie

OVH była jedną ze spółek, które zainicjowały utworzenie stowarzyszenia CISPE (Cloud Infrastructure Services Providers in Europe). Stowarzyszenie to opracowało projekt kodeksu postępowania mającego na celu upowszechnianie właściwego stosowania postanowień RODO przez dostawców infrastruktury IaaS (Infrastructure as a Service). OVH, aktywnie uczestnicząc w tej inicjatywie, wykazuje swoje duże zaangażowanie na rzecz ujednolicenia regulacji dotyczących ochrony danych osobowych w Europie.

Thumbnail

Rozwiązanie Private Cloud (IaaS) to pierwsza spośród usług OVH, które zostały uznane za zgodne z kodeksem postępowania CISPE.

FAQ: OVH jako podmiot przetwarzający dane

Kto jest właścicielem danych osobowych przetwarzanych i przechowywanych przez klientów w ramach usług OVH?

Dane przechowywane na infrastrukturze OVH pozostają własnością klienta.

OVH może uzyskać dostęp do tych danych i nimi operować tylko i wyłącznie, gdy jest to niezbędne do realizacji usług określonych w umowie.

OVH nie ma prawa odsprzedawać danych klienta ani wykorzystywać ich do własnych celów, takich jak np. eksploracja danych (ang. data mining), profilowanie klientów czy marketing bezpośredni.

W jakich przypadkach firma OVH może mieć dostęp do danych przechowywanych i przetwarzanych przez klienta w ramach świadczonych usług?

OVH ma dostęp do danych klienta wyłącznie w dwóch przypadkach:

  • w związku z potrzebami wynikającymi z realizacji usług, w szczególności celem zapewnienia wsparcia dla klientów kontaktujących się z pomocą techniczną OVH. W tym przypadku dostęp do danych klientów jest ściśle ograniczony zgodnie z polityką kontroli i bezpieczeństwa OVH;
  • w związku z koniecznością wywiązania się z obowiązku prawnego, w odpowiedzi na wnioski organów sądowych i/lub administracyjnych. Wnioski te podlegają ścisłej kontroli.

Dostęp do danych klienta w przypadku udzielania wsparcia technicznego:
Kiedy klient kontaktuje się z działem wsparcia technicznego OVH, konsultant ma prawo skorzystać z dostępu do jego danych w dwóch sytuacjach. Po pierwsze zapoznaje się z danymi klienta wprowadzonymi w jego koncie OVH (nazwisko, imię, numer telefonu, adres e-mail, etc.) w celu weryfikacji tożsamości rozmówcy oraz przetworzenia zgłoszenia klienta.
Po drugie, wyłącznie na wyraźną prośbę klienta i z zastrzeżeniem ograniczeń technicznych właściwych dla danej usługi, konsultant może skorzystać z dostępu do danych klienta, aby zdiagnozować problem z usługą i przedstawić scenariusze rozwiązania.

Dostęp do danych klienta na wniosek organu sądowego i/lub administracyjnego:
Firma OVH ma obowiązek działać zgodnie z przepisami prawa i odpowiadać na wnioski organów sądowych i/lub administracyjnych. Wnioski dotyczące udzielenia dostępu do danych podlegają ścisłym regulacjom prawnym. OVH udziela dostępu do danych tylko po upewnieniu się co do ważności i zasadności wniosku. Ponadto, o ile wniosek lub prawo tego nie zabraniają, OVH zobowiązuje się do poinformowania w jak najszybszym terminie klienta o wpłynięciu takiego wniosku do OVH. Wnioski, które zostałyby skierowane przez podmiot operujący na terytorium państwa trzeciego przetwarzane są tylko pod warunkiem, że sformułowane zostały w oparciu o porozumienia międzynarodowe, takie jak na przykład traktat o wzajemnej pomocy prawnej, zawarte pomiędzy państwem trzecim, a Unią Europejską lub państwem członkowskim UE.

Czy dane europejskich klientów OVH są przekazywane poza obszar Unii Europejskiej?

W odpowiedzi na to pytanie należy wyszczególnić dwie sytuacje. Każda z nich zależy od dokonanego przez klienta wyboru lokalizacji centrum danych, w którym przechowywane będą jego dane:

Kiedy klient wybiera usługę realizowaną z wykorzystaniem jednego lub kilku centrów danych w Unii Europejskiej:
W tym przypadku dane klienta nigdy nie zostaną przekazane poza terytorium:

  • państw członkowskich Unii Europejskiej,
  • państw uznanych przez Komisję Europejską za państwa posiadające wystarczający poziom ochrony danych osobowych w związku z ochroną prywatności, swobód i fundamentalnych praw osób. Lista tych państw znajduje się na stronie WWW Komisji Europejskiej.

Po unieważnieniu porozumienia Safe Harbor oraz mimo iż Komisja Europejska uznaje, że amerykańskie organizacje należące do Privacy Shield posiadają wystarczający poziom bezpieczeństwa, OVH nigdy nie przekazuje danych klientów, którzy wybrali strefę geograficzną w Europie, na teren Stanów Zjednoczonych.

OVH może przesyłać dane do krajów, których poziom bezpieczeństwa został uznany przez Unię Europejską jako wystarczający, w ramach czynności związanych z udzieleniem klientom wsparcia technicznego, w tym realizacji interwencji sprzętowych. Centra danych OVH znajdują się w Unii Europejskiej, natomiast zespoły pomocy technicznej znajdują się w Unii Europejskiej oraz w Kanadzie, która także została uznana przez Unię Europejską za kraj spełniający wymagania w zakresie odpowiedniego poziomu ochrony danych osobowych. OVH zastrzega sobie prawo do powierzania świadczenia usług pomocy technicznej wiążących się z koniecznością zdalnego dostępu do danych klienta innym jednostkom OVH, zlokalizowanym w krajach o poziomie ochrony danych uznanym przez Komisję Europejską za wystarczający (z wyjątkiem USA).

Gwarancje udzielone przez OVH w zakresie przekazywania danych umożliwiają klientowi wypełnianie jego zobowiązań regulacyjnych. Artykuł 45 RODO, który definiuje "przekazywanie danych na podstawie decyzji stwierdzającej odpowiedni stopień ochrony" stanowi, że przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić, gdy Komisja stwierdzi, że państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia.

Kiedy klient wybiera usługę zlokalizowaną w centrum danych poza Unią Europejską:
W tym przypadku dane będą przekazywane poza Unię Europejską. Lokalizacja lub strefa geograficzna, w której znajduje się centrum lub centra danych wykorzystywane do świadczenia usługi, są wskazane na stronie internetowej OVH. Gdy dostępnych jest wiele lokalizacji, klient wybiera jedną z nich według swoich preferencji. OVH nie może zmienić, bez zgody klienta i z zastrzeżeniem specyficznych warunków świadczenia niektórych usług, lokalizacji lub strefy geograficznej wybranej na etapie zamówienia.

W przypadku gdy klient chce przetwarzać dane osobowe w centrach danych zlokalizowanych poza Unią Europejską, w kraju nie zapewniającym odpowiedniego poziomu ochrony danych osobowych, OVH może, na wyraźną prośbę takiego klienta, rozważyć opcje wdrożenia odpowiednich zabezpieczeń umożliwiających przekazanie danych w trybie opisanym w artykule 46 RODO "Przekazywanie z zastrzeżeniem odpowiednich zabezpieczeń".

OVH jako administrator danych

Thumbnail

OVH występuje w charakterze administratora danych w przypadku, gdy ustala cele i sposoby przetwarzania danych osobowych.

Typowe przykłady to sytuacje, kiedy OVH gromadzi dane niezbędne do wystawiania faktur, zarządzania windykacją należności, poprawy jakości usług i wydajności, prowadzenia operacji handlowych, zarządzania procesami handlowymi, ale również gdy przetwarza dane osobowe swoich pracowników.

Do opisanych powyżej przykładów nie zalicza się przypadek hostowania danych klienta na serwerach OVH, natomiast może zaliczać się przypadek przechowywania informacji dotyczących organizacji klienta lub jej pracowników (np. tożsamość i kontakt do pracownika kontaktującego się z działem pomocy technicznej OVH). Z tego właśnie powodu OVH dokłada wszelkich starań, aby klienci mieli pełną znajomość wdrożonych środków dających gwarancję ochrony danych osobowych.

  • ograniczenie gromadzonych danych wyłącznie do koniecznych informacji: zgodnie z tą zasadą podczas zamawiania usługi podaj tylko dane niezbędne OVH do wystawiania faktur i zapewniania wsparcia technicznego oraz informacje, których OVH potrzebuje do wypełniania wymagań prawnych w zakresie przechowywania danych (w szczególności zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych);
  • wykorzystywanie gromadzonych danych wyłącznie do celów, w jakich zostały zgromadzone;
  • przechowywanie danych osobowych przez ściśle określony czas. Przykładowo dane przetwarzane w celu zarządzania relacjami z klientem (nazwisko, imię, adres pocztowy, adres e-mail, etc.) są przechowywane przez OVH przez czas trwania umowy plus dodatkowo przez 36 (trzydzieści sześć) kolejnych miesięcy. Po tym czasie dane te, jak również ich kopie, usuwane są z wszelkich nośników;
  • przekazywanie danych klienta wyłącznie spółkom należącym do Grupy OVH, które uczestniczą w wykonaniu łączącej strony umowy. Niektóre dane przekazywane w ramach Grupy mogą być przesyłane poza obszar Unii Europejskiej zgodnie z wiążącymi regułami korporacyjnymi wdrożonymi przez OVH;
  • wdrażanie odpowiednich środków technicznych i organizacyjnych gwarantujących wysoki poziom bezpieczeństwa.