Varovanje osebnih podatkov ponudnika spletnega gostovanja

Mogoče kdo ve iz glave, če ZVOP-1 obravnava tudi varovanje osebnih podatkov s strani ponudnikov spletnega gostovanja?

Namreč ponudnik je varnostno kopijo obesil na javno dostopen naslov. Vsakdo ima dostop do podatkov in vpogled v vse.
Kaj lahko storim v tem primeru?

To ni problem. Novega ponudnika bom našel in prenesel vso vsebino.

Problem je, da bi trenutnemu rad legalno zavil vrat! Vendar je problem, da se na pravo ne spoznam in ne vem kaj lahko ukrenem proti njemu na legalen način, da ga bo močno peklo (prišlo je do "spora" oz povsem samovoljnega obnašanja s strani ponudnika).

1) Če v pogodbi nimaš klavzul, ki jih zahteva ZVOP-1 za obdelavo osebnih podatkov pri drugem obdelovalcu, si sam v prekršku.
2) Če v pogodbi ni teh klavzul in tudi ni navedeno, da se obdeluje osebne podatke, bo lahko ponudnik storitve utemeljeno trdil, da ni vedel za osebne podatke, torej je lahko kvečjemu kršil pogodbo, sam pa ni v prekršku po ZVOP.

3) Takoj zahtevaj takojšen umik vsebine. Ne čez nekaj ur ali dni, temveč takoj in res takoj.
4) S tem, ko si ga obvestil, da so objavljeni podatki javno dostopni nezakonito in ga pozval k takojšnji odstranitvi, bo po ZEPT postal soodgovoren za morebitno nadaljevanje kršitve, na kar ga je dobro opozoriti, če reakcija ne bo ustrezno hitra.

5) Sprijazni se, da si storil napako (manjkajoče klavzule v pogodbi), vendar pa naj iz tega ne nastane katastrofa za uporabnike. S pravnikom razmisli, če se bi bilo vseeno dobro skesano samoprijaviti IP-RS, da se bi tudi na ta način stvar čim hitreje saniralo.
6) Od ponudnika poskusi pridobiti podatke o temu, če je bila varnostna kopija dejansko tudi že kam prenešena in kolikokrat prenešena.

7) Misli na uporabnike. Če ugotoviš, da so bili njihovi osebni podatki potencialno zlorabljeni bi bilo primerno, da jih tudi o temu obvestiš. Prikrivanje na dolgi rok ni dobra praksa in bo potencialno povzročilo več škode, kot pa full disclosure uporabnikom - tudi če incident zamolčiš pred IP-RS.

OK, malo več konteksta, kar ti verjetno ne bo pomagalo za nazaj, upam pa, da bo pomagalo marsikomu za naprej.

S tem, ko se vedno več obdelave podatkov seli v t.i. "oblak", je vedno bolj očitno postajalo tudi to, da se marsikateri upravitelj zbirke osebnih podatkov, kakor tudi ponudniki storitev gostiteljstva niso zavedali, da so po zakonu (našem in ostalih, ki izhajajo iz EU direktive) tehnično zavezani sklepati tudi pogodbe z ustrezno vsebino. Ne glede na obliko, pogodba o izvajanju storitve tako obstaja, pri temu pa je največkrat pomakljiva.

Težava, do katere je vedno večkrat prihajalo, pa je ravno ta, da je težko oziroma praktično nemogoče zahtevati od ponudnika storitve, da ravna v skladu z ZVOP, če se dejansko sploh ne zaveda, da se na njegovi opremi ali opremi pod njegovim nadzorom obdelujejo osebni podatki, ki jih tam obdeluje upravljalec zbirke osebnih podatkov.

Ravno zaradi tega pa je nujno, da se začne poudarjati, da je vedno, kadar se pri nekem ponudniku gostovanja (naj bo to "oblak" ali pa običajen hosting) načrtuje obdelavo osebnih podatkov, to tudi upošteva in sestavi oziroma pridobi pogodbo, ki bo vzpostavila pravilna pravna razmerja odgovornosti med upravljalcem in obdelovalcem. Tega pa se morajo zavedati tako upravljalci, na katerih leži odgovornost zakonitega upravljanja s temi zbirkami, kot tudi pogodbeni obdelovalci, ki bodo preprosto začeli izgubljati naročnike, če se tej realnosti ne bodo prilagodili.

S to temo povezano mnenje IP-RS, ki se sicer nanaša tudi na širši problem, pa ima št. 0712-1/2011/2414.

Dejansko je "daj mi denar in jaz lahko delam kar hočem".

Skoraj vse.

Kar lahko storiš, če je to ponudnik s sedežem v Sloveniji ali v EU, je to, da mu zagroziš z izterjavo vseh morebitnih glob in stroškov, ki jih boš utrpel, če nezakonito objavljene vsebine ne bo nemudoma ostranil. Običajno ti ljudje razumejo samo globe in nič drugega.

Pravna podlaga pri nas je 11. čl. ZEPT, ki zagotavlja, da ne bo odgovarjal za vsebine samo v primeru, da ne ve za njihovo protipravnost IN jih nemudoma odstrani ali onemogoči dostop do njih, ko mu postane protipravnost znana. Tudi, če sam ni nujno v prekršku po ZVOP, pa je omogočanje javnega dostopa do osebnih podatkov v vsakem primeru prekršek sam po sebi (pa lahko rečeš tudi, da je nezakonitost pravzaprav očitna in nedvoumna) in bo ponudnik moral nositi odškodninsko odgovornost za to, da tega tudi po pozivu ni odstranil.

Podlaga za ta člen je v direktivi 2000/31/ES, ki so jo morale vse članice EU prevzeti v svojo zakonodajo, kar pomeni, da za vse ponudnike s sedežem v EU obstaja ekvivalent našemu ZEPT. Ravno tako pa, če malo pomislim, ne bi bilo odveč obvestiti tudi kakšen ekvivalent IP-RS v državi s sedežem ponudnika, da je bil ta obveščen o nezakonitosti in ni ukrepal. Tudi, če ne bo neposredno koristilo, pa zagotovo tudi ne bo škodilo, ker tuji DPA nimajo neposredne pristojnosti nad teboj.

Če je ponudnik domač, potem mu boš morda lahko prišel do živega že sam. Če je ponudnik kje drugje iz EU, potem pa ti že priporočam najem odvetnika, ki ima izkušnje z čezmejnimi spori.

Če je to ponudnik iz kakšnih ZDA, potem pa nimam pojma kako na njega pritisniti. To bo kdo drug vedel in (upam) napisal.