Wszystkie teksty umieszczane na Linkedin lub naszych stronach internetowych są naszą opinią. Prosimy nie traktować ich jako porady prawnej w konkretnej sprawie, ponieważ konkretna sprawa zawsze wymaga indywidualnej analizy.
Kolokacja – w znaczeniu udostępnienia przestrzeni na potrzeby umieszczenia urządzeń (infrastruktury) usługobiorcy (z reguły serwerów) – jest popularną usługą wśród przedsiębiorców różnych branż. Może ona zmniejszać koszty prowadzonej działalności, powoduje jednak oddanie krytycznej infrastruktury w ręce podmiotu trzeciego.
W dobie ogólnej cyfryzacji jest popularną formą zapewnienia bezpieczeństwa własnej infrastruktury IT. Przedsiębiorcy często zadają sobie pytanie, czy podczas korzystania z usługi kolokacji dochodzi do powierzenia przetwarzania danych osobowych – a w konsekwencji czy istnieje obowiązek zawarcia umowy powierzenia. Postanowiliśmy rozwiać te wątpliwości.
Usługa kolokacji polega na udostępnieniu fizycznej przestrzeni spełniającej określone warunki środowiskowe (temperatura, wilgotność itp.) na potrzeby umieszczenia urządzeń (infrastruktury) usługobiorcy, wraz z zapewnieniem dostępu do przestrzeni oraz zasilania i podłączenia telekomunikacyjnego.
Po stronie usługobiorcy pozostaje z reguły obsługa infrastruktury sieciowej (w szczególności zagadnienia związane z cyberbezpieczeństwem). Z istoty usługi kolokacji wynika, że świadczący ją podmiot nie ma dostępu do informacji i danych, które znajdują się w infrastrukturze lokowanej w powierzchni kolokacji (co oczywiście nie wyklucza dostępu do danych i informacji w przypadku świadczenia usług dodatkowych). Należy przy tym odróżnić ją od usług świadczonych przez operatora telekomunikacyjnego na podstawie prawa telekomunikacyjnego (w rozumieniu tej ustawy pojęcie kolokacji jest węższe).
Powierzenie danych osobowych oznacza przetwarzanie danych przez inny podmiot, lecz w imieniu i na polecenie administratora. Pojęcie przetwarzania danych osobowych zostało wprost uregulowane w art. 4 pkt 2 RODO.
Brytyjski organ nadzorczy (Information Commissioner’s Officer, ICO) wskazuje, że aby podmiot mógł zostać uznany za procesora, musi w danym stanie faktycznym występować „pewien stopień dostępu do danych lub możliwość kontroli nad danymi lub skorzystania z nich” (bez naruszenia umowy o świadczenie usług). Samo fizyczne posiadanie w dyspozycji nośnika danych nie jest wystarczające do stwierdzenia stosunku powierzenia[1].
Powyższe stanowisko zostało wyrażone w kontekście usług pocztowych i kurierskich, jednak w naszej ocenie znajduje zastosowanie także wobec kolokacji. W przypadku tej usługi zleceniobiorca również może dysponować fizycznie nośnikami danych, kontroluje bowiem dostęp do data center lub innej powierzchni, na której zostały umieszone serwery (szafy, boxy itp.), ale umowa zawarta ze zleceniodawcą nie zezwala mu na jakikolwiek dostęp do tych zasobów. Uznanie, że mimo to niezbędne jest równocześnie zawarcie umowy powierzenia przetwarzania danych wynikające z faktu udostępnienia powierzchni data center, prowadziłoby do wewnętrznej sprzeczności zawieranych umów.
Nie zmienia powyższej oceny okoliczność kontrolowania przez usługodawcę dostępu do udostępnianej powierzchni. Takie działania stanowią dodatkowe zabezpieczenie oferowane przez usługodawcę, jednak ewentualne przetwarzanie danych w związku z tą usługą z reguły odbywa się we własnych celach usługodawcy i powoduje uzyskanie przez niego statusu odrębnego administratora[2].
Kolejnym argumentem przemawiającym przeciwko zawieraniu umów powierzenia przetwarzania danych w odniesieniu do usług kolokacji jest niemożliwość ich wykonania w praktyce. . Art. 28 RODO określa szereg obowiązków, które powinny być nałożone na procesora, wynikających z charakteru świadczonych usług.
W przypadku usługi kolokacji istotna część tych obowiązków nie miałaby praktycznego zastosowania (np. nie ma możliwości, by podmiot świadczący usługi kolokacji wspierał swojego klienta w realizacji praw podmiotów danych).
Podobna ocena dotyczy obowiązku usunięcia lub zwrotu przetwarzanych danych – dostawca usługi kolokacji nie mógłby zobowiązać się do usunięcia lub zwrotu danych, ponieważ na żadnym etapie umowy nimi nie dysponuje. Może jedynie zobowiązać się do zwrotu powierzonego mu sprzętu.
Brak konieczności zawarcia umowy powierzenia z punktu widzenia zleceniodawcy nie oznacza równocześnie braku obowiązków związanych z zapewnieniem poufności danych przetwarzanych na serwerach w wynajętym data center. Obowiązki te obciążają jednak wyłącznie administratora. W szczególności administrator może zobowiązać usługodawcę do wprowadzenia określonych systemów kontroli dostępu.
Wypada jednak podkreślić, że obowiązki odpowiedniego zabezpieczenia po stronie dostawcy usługi kolokacji nie wynikają z przepisów RODO (art. 32 RODO). Ich źródłem będzie natomiast umowa zawarta z klientem – jej postanowienia będą elementem technicznych środków zabezpieczeń w odniesieniu do danych osobowych przetwarzanych przez klienta.
Świadczenie usługi kolokacji nie wiąże się z dostępem do danych osobowych przetwarzanych przez świadczącego usługę. Usługodawca nie dokonuje operacji na danych osobowych przetwarzanych przez zlecającego usługę. Wynika to z istoty usługi kolokacji, która bliższa jest najmowi niż hostingowi.
Dodatkiem do usługi kolokacji mogą być inne usługi, takie jak hosting lub usługa backupu. Równoległe ich świadczenie przez przedsiębiorcę realizującego usługę kolokacji może się wiązać z koniecznością zawarcia umowy powierzenia i każdorazowo powinno podlegać ocenie – z uwzględnieniem opisanych przez nas kryteriów. Ale to już temat na zupełnie inny artykuł.
[1] Tak ICO w kontekście usług pocztowych: https://ico.org.uk/media/for-organisations/documents/1546/data-controllers-and-data-processors-dp-guidance.pdf [dostęp 14/03/2019] [2] Por. https://www.lexology.com/library/detail.aspx?g=4941d5af-3913-4cb3-aac6-a2de87b259b2 [dostęp 12/03/2019]