Jak wybrać hosting stron WWW zgodny z RODO? Na co uważać w zakresie danych osobowych? Jak podpisać z hostingiem umowę powierzenia danych? Co powinien mieć bezpieczny hosting? Sprawdź!
Spis treści
RODO to rozporządzenie dotyczące przetwarzania danych osobowych, które zostało przyjęte przez Parlament Europejski oraz Radę Unii Europejskiej w maju 2016 roku. Firmy, które działają na terenie Unii miały czas na wprowadzenie zmian do 25 maja 2018 roku, a obejmowały one wszystkie przedsiębiorstwa, które przetwarzają dane osobowe. Prowadzący biznesy mają obowiązek zadbać o bezpieczeństwo tych danych.
W przypadku stron WWW wrażliwe informacje (lub po prostu dane osobowe takie jak adresy e-mail) często zapisane są w bazach serwisów. Czy to oznacza, że powinieneś szukać hostingu zgodnego z RODO? A może wszystkie takie usługi muszą odpowiadać zapisom rozporządzenia?
RODO i dane osobowe a strony WWW
W czasie kiedy odliczano dni do wprowadzenia RODO, wielu przedsiębiorców zastanawiało się, czy w związku ze zmianą przepisów powinni oni podejmować jakiekolwiek kroki i czy w ogóle to ich dotyczy. Wątpliwości miały między innymi firmy, które zarządzają stronami internetowymi, na których użytkownicy rejestrują konta i de facto zostawiają pewne dane.
Na czym polega przetwarzanie danych? Otóż obejmuje ono m.in. ich przechowywanie, zbieranie, rejestrowanie, modyfikację czy ich adaptację. Kiedy mamy do czynienia z danymi osobowymi? Wówczas, gdy na ich podstawie jesteśmy w stanie zidentyfikować konkretną osobę. Nie wystarczą do tego wyłącznie imię i nazwisko. Osób, które nazywają się tak samo, może być bardzo dużo, natomiast w połączeniu z informacjami o miejscu pracy bez problemów można już ustalić, o kogo chodzi.
Czy RODO dotyczy każdego przedsiębiorstwa? Przepisy mają zastosowanie wówczas gdy:
- Firma ma siedzibę w UE i przetwarza dane bez względu na to, gdzie fizycznie do tego dochodzi.
- Firma ma siedzibę poza UE i przetwarza dane w związku z oferowaniem produktów i usług osobom fizycznym w UE lub monitoruje zachowania osób fizycznych w Unii.
Czy to oznacza, że jeśli prowadzisz hobbistycznie stronę internetową i przetwarzasz dane, to nie musisz dbać o kwestie ich bezpieczeństwa? W dalszym ciągu masz taki obowiązek, dlatego powinieneś wiedzieć, kiedy masz do czynienia z przetwarzaniem w przypadku serwisu WWW.
Co grozi za naruszenie zasad RODO? W art. 83. RODO znajdują się informacje o wysokości kar w zależności od rodzaju przewinienia. Na dany podmiot może być nałożona kara do 10 lub do 20 mln euro albo do 2 lub do 4 proc. całkowitego rocznego obrotu, przy czym zastosowanie ma kwota wyższa.
Jak wynika z danych PrivacyAffairs i stanu na połowę 2020 roku, jak dotąd w Unii Europejskiej nałożono 345 kar za naruszenie przepisów RODO na łączną kwotę 175 944 866 euro. Polskie firmy musiały zapłacić z tego tytułu 1 162 648 euro. W naszym kraju odnotowano 8 przypadków naruszenia przepisów, a najwyższą karę otrzymali właściciele sklepu morele.net – 644 tys. euro.
Kiedy mowa o przetwarzaniu danych na stronie WWW?
Masz wątpliwości, czy na Twojej witrynie dochodzi do przetwarzania danych? Może tak się dziać przy okazji przeróżnych działań dokonywanych przez internautów, takich jak:
- Korzystanie z formularza kontaktowego, jeśli wymaga to podania przez użytkownika danych – należy przy nim umieścić informację dotyczącą zgody na przetwarzanie tych danych, a dodatkowa zgoda będzie konieczna wówczas, gdy będziesz chciał użyć ich do działań marketingowych.
- Rejestracja użytkowników – internauta powinien mieć możliwość zapoznania się z polityką prywatności, a także wyrazić zgodę na przetwarzanie danych. W przyszłości natomiast musi móc zmienić zgody, edytować dane czy usunąć je.
- Składanie zamówienia – możliwe jest to również bez rejestracji. Tutaj także internauta powinien wyrazić zgodę na przetwarzanie danych, które jest przecież niezbędne do realizacji zamówienia.
- Dodawanie komentarzy, o ile wymagane jest logowanie albo podawanie konkretnych danych takich jak adres e-mail – jeśli można je umieszczać anonimowo, to nie musisz się martwić o RODO.
Pamiętaj: Adres e-mail to dana osobowa! Jeśli gdziekolwiek na Twojej stronie ktokolwiek może podać swój adres e-mail, znaczy, że przetwarzasz dane osobowe!
Jak zatem widzisz, jeśli prowadzisz stronę internetową, to najczęściej będzie dochodziło do przetwarzania informacji osobowych, które z reguły są zapisywane w bazie danych firmy hostingowej. I tutaj pojawia się kolejny obowiązek, który związany jest z RODO.
Umowa powierzenia danych z hostingiem
Skoro dane internautów będą przechowywane na serwerach danej firmy, to powinieneś zawrzeć z nią umowę powierzenia danych, ponieważ samo tworzenie ich kopii zapasowych jest już przetwarzaniem. Marki hostingowe są na to przygotowane i proponują różne możliwości, by dopełnić tego obowiązku. Oczywiście jest to bezpłatne, firmy narzucają jedynie, jaką formę musi mieć taka umowa. Zgodnie z RODO powinien ją podpisać każdy, kto jako administrator danych przekazuje je firmie. Jak możesz to zrobić?
Sposobów jest kilka. Najczęściej bez problemów dopełnisz tego obowiązku online – poprzez wprowadzenie odpowiednich danych. Może być jeszcze łatwiej – odpowiednie zapisy mogą się już znajdować w regulaminie i nie musisz dodatkowo wypełniać innych dokumentów. W innych przypadkach może to wyglądać tak, że firma hostingowa będzie wymagać wydrukowania umowy i przesłania dwóch kopii pocztą tradycyjną, jednak najczęściej nie będzie takiej konieczności.
W zależności od tego, w jakiej firmie posiadasz hosting, może to przebiegać inaczej. Z reguły możliwość zawarcia umowy uzyskasz po zalogowaniu się do panelu klienta. Możesz tam znaleźć opcję podobną do tej, którą widzisz poniżej:
Kliknij „Nowa umowa RODO” i uzupełnij kilka pól:
Umowa niemal w całości automatycznie wypełnia się danymi, ale w kilku przypadkach należy je wprowadzić.
Po wpisaniu pożądanych informacji i dodaniu niezbędnych zgód kliknij „Zapisz” – wniosek o umowę RODO został złożony.
Taka umowa nie zawsze będzie identyczna – jej treść należy dopasować do danego przypadku, ale nie wymaga to wiedzy z zakresu prawa. Przy jej generowaniu najprawdopodobniej dostaniesz sugestie, jakie informacje należy wprowadzić w poszczególnych pozycjach.
Nie wszystkie firmy zapewniają jednak takie generatory i konkretne opisy odnośne do wypełnienia poszczególnych pól. W poniższym przypadku musisz sam się domyślić, jakie dane podlegają przetwarzaniu – powinny pojawić się jednak tutaj podpowiedzi.
Po wprowadzeniu danych wygenerowała się umowa, której warunki należy zaakceptować.
Następnie na adres e-mail firma prześle potwierdzenie akceptacji warunków:
W zdecydowanej większości przypadków umowę zawrzesz bez konieczności drukowania dokumentów, składania podpisów i stawiania pieczątek. Firmy hostingowe starają się maksymalnie ułatwiać klientom ten proces, więc najczęściej raczej nie spotkasz się z trudnościami.
Bezpieczeństwo danych a hosting zgodny z RODO
Mając na względzie bezpieczeństwo danych, powinieneś zwrócić uwagę, na jakie rozwiązania, mające wpływ na tę kwestię, możesz liczyć w przypadku danego hostingu. To bardzo ważne – jesteś odpowiedzialny za dane, a wybór usługi serwerowej również ma wpływ na ich ochronę. Oto, co ma znaczenie:
- Darmowy SSL – większość firm daje już możliwość korzystania z certyfikatu SSL bez opłat. Dzięki temu połączenie pomiędzy stroną a urządzeniem internauty jest szyfrowane – przesyłane dane nie mogą być przejęte ani zmienione. Zobacz: Hostingi z darmowym certyfikatem SSL
- Bezpieczeństwo DNS – tutaj sugeruję dwa rozwiązania. Pierwsze z nich to DNSSEC, które zabezpiecza domenę przed jej przekierowaniem np. na fałszywą stronę WWW. Drugim jest DNS Anycast, które polega na tym, że firma zapewnia serwery DNS na całym świecie. Jeśli dojdzie do ataku DDoS na dany serwer, to wówczas odpytany zostanie inny, zatem niewielkie jest prawdopodobieństwo, że cyberprzestępcy doprowadzą do całkowitej blokady Twojej strony.
- Zabezpieczenia poczty e-mail – takie jak SPF (Sender Policy Framework), DKIM (Domain Keys Identified Mail) czy też DMARC (Domain-based Message Authentication, Reporting and Conformance). W pierwszym przypadku chodzi o wpis w DNS domeny, który informuje adresatów poczty, że serwer o konkretnym adresie IP może wysyłać wiadomości z danej domeny. Przy zastosowaniu DKIM wiadomość jest podpisywana cyfrowo, tak, aby było wiadomo, że pochodzi od Ciebie. Wybierając DMARC, będziesz mieć do czynienia z połączeniem dwóch pierwszych rozwiązań, wzbogaconym o dodatkowe możliwości. DMARC definiuje, czy wiadomości e-mail wysłane z Twojej domeny mają być podpisane i co z nimi zrobić, jeśli nie są. Warto też zwrócić uwagę na standard BIMI, który umożliwia weryfikację domeny i wyświetlanie logo firmy w skrzynkach odbiorców przy każdej wiadomości.
- Bezpieczny transfer plików – możesz transferować dane, korzystając z protokołu FTP, ale bezpieczniejszym rozwiązaniem jest SFTP, dzięki któremu przesyłane i odbierane dane są w pełni szyfrowane.
- Separacja stron WWW – rozwiązanie to gwarantuje, że katalogi, na które wskazuje dana domena są traktowane jako osobny byt. Jeśli jedna ze stron zostanie zainfekowana, to nie dojdzie do wyrządzenia szkód w folderach innych serwisów, które znajdują się na tym samym koncie hostingowym.
- WAF (Web Application Firewall) – umożliwia blokowanie niepożądanych treści przychodzących wysyłanych za pomocą protokołu HTTP. Jest to ochrona przed takimi atakami jak SQL Injection, Cross Site Scripting czy też Directory Traversal. Przykład: ModSecurity.
Więcej o tym, na co uważać szukając bezpiecznego hostingu, znajdziesz w poradniku: Bezpieczny hosting
Zanim zdecydujesz się na dany hosting, zwróć uwagę na to, jakie zapewnia on zabezpieczenia. Jesteś odpowiedzialny za dane użytkowników strony, pracowników czy klientów. Dopełnij obowiązki związane z RODO, a w tym zawrzyj umowę powierzenia danych z firmą hostingową.