Do spełnienia jakich obowiązków wynikających z ustawy o ochronie danych osobowych zobowiązana jest firma (zajmująca się profesjonalnie wydzierżawianiem swoim klientom miejsca na serwerze), która wydzierżawia innej firmie miejsce na swoim serwerze, w celu przechowywania na nim danych osobowych i oprogramowania służącego do ich przetwarzania?

Hosting jest usługą, którą usługodawca świadczy na rzecz swoich klientów. Usługa ta polega na udostępnianiu zasobów sprzętowych i programowych urządzeń komputerowych do wykonywania określonych zadań. Użytkownicy korzystający z usług hostingowych otrzymują od usługodawcy specjalne oprogramowanie służące do samodzielnej aktualizacji (edycji, dodawania, ukrywania i kasowania) stron i podstron. Oprogramowanie CMS (Content Management Systems - System Zarządzania Treścią) jest zazwyczaj obsługiwane przez użytkownika poprzez przeglądarkę internetową, dzięki czemu powstaje możliwość edycji stron z dowolnego, podłączonego do Internetu miejsca na świecie. Podkreślić należy w tym miejscu, iż CMS zawsze wyposażony jest w system rejestracji i autoryzacji uprawnionych osób.

W celu ustalenia, czy podmiot korzystający z usługi hostingu jest administratorem danych osobowych w rozumieniu art. 7 pkt 4 ustawy o ochronie danych osobowych, niezbędne jest dokonanie analizy umowy zawartej z podmiotem świadczącym tę usługę. Umowa hostingu może bowiem stanowić umowę powierzenia przetwarzania danych osobowych, o której mowa w art. 31 ustawy o ochronie danych osobowych.

Ustawa o ochronie danych osobowych nakłada inny rodzaj obowiązków na administratora danych - pod którym to pojęciem zgodnie art. 7 pkt 4 ustawy - rozumie się organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w jej art. 3, decydujące o celach i środkach przetwarzania danych osobowych, oraz inny na podmiot, któremu przetwarzanie danych zostało powierzone na mocy art. 31 ustawy o ochronie danych osobowych.

Podstawowymi, wynikającymi z ustawy o ochronie danych osobowych, obowiązkami ciążącymi na administratorze danych, warunkującymi legalność ich przetwarzania, są:

1. obowiązek legitymowania się jedną spośród wskazanych w art. 23 ust. 1 pkt 1 - 5 oraz art. 27 ust. 2 pkt 1 - 10 przesłanek legalizujących przetwarzanie danych,
2. określony odpowiednio w art. 24 lub 25 ustawy - w zależności od tego, czy dane zbierane są bezpośrednio od osoby, której dotyczą, czy też z innego źródła - obowiązek informacyjny,
3. wskazany w art. 26 ust. 1 ustawy obowiązek zapewnienia, aby dane były przetwarzane zgodnie z prawem; zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2 tego przepisu; merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane; przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania,
4. obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, o którym mowa w rozdziale 5 ustawy o ochronie danych osobowych, zaś w przypadku przetwarzania danych w systemie informatycznym - w przepisach wyżej powołanego rozporządzenia,
5. wynikający z art. 40 ustawy obowiązek zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 pkt 1 - 11 ustawy o ochronie danych osobowych.

Podmiot, któremu przetwarzanie danych zostało powierzone na mocy art. 31 ustawy o ochronie danych osobowych, jest natomiast obowiązany do podjęcia - przed rozpoczęciem przetwarzania danych - środków zabezpieczających zbiór danych, o których mowa w art. 36 - 39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a ustawy o ochronie danych osobowych. W zakresie przestrzegania tych przepisów podmiot, któremu dane powierzono, ponosi odpowiedzialność jak administrator danych (art. 31 ust. 3). Ponadto, jest on związany w swej działalności określonym w umowie zakresem i celem przetwarzania danych. Może zatem przetwarzać dane wyłącznie w takim zakresie i celu, jaki został przewidziany w jej treści.