Udostępnianie użytkownikom oprogramowania przez Internet w tzw. modelu SaaS (Software as a Service) staje się coraz bardziej popularne. Firmy tworzące tego rodzaju usługi wielokrotnie podkreślają, że taki model jest zdecydowanie bardziej atrakcyjny dla użytkownika niż tworzenie tradycyjnych aplikacji. Co sprawia, że klienci chcą korzystać z SaaS? Chyba przede wszystkim cena. Użytkownik z zasady płaci w SaaS-ie abonament za dostęp, który jest znacznie tańszy niż przy zakupie aplikacji. Dodatkowo, nie musi martwić się kosztami wdrażania, dokupywania aktualizacji. Dostawcy usługi SaaS częstokroć oferują okresy próbne, które dają możliwość zapoznania się z infrastrukturą i funkcjonalnościami aplikacji, co wzbogaca usługę. To tylko kilka zalet, jest ich dużo więcej.

 

Pewne jest jedno. SaaS jest na topie i to nie od dziś.

 

Jednym z zagadnień, które pojawia się podczas pomocy firmom świadczącym usługę SaaS jest kwestia unormowania przetwarzania danych osobowych wprowadzanych przez użytkowników do usługi. W praktyce znajduje to wyraz w odpowiedzi na pytanie: „co dostawca SaaS ma zrobić z danymi osobowymi wprowadzanymi przez przysłowiowego Jana Kowalskiego”. Konieczne jest więc rozstrzygnięcie, kim w tej układance jest dostawca SaaS: administratorem danych, podmiotem przetwarzającym, a może żadnym z nich? Różnica pomiędzy trzema opcjami jest zasadnicza. Na administratorze ciąży szereg obowiązków ustawowych. Procesor ma tych obowiązków zdecydowanie mniej. Jeśli założymy, że dostawca usług jest jedynie procesorem danych, a nie administratorem, powinien zawierać umowę powierzenia przetwarzania danych z klientami. A jeśli nie jest ani administratorem, ani procesorem? Przed takimi pytaniami stają dostawcy usług SaaS.

 

Ustalenie pozycji zawsze zależy od okoliczności konkretnej sytuacji. Nie da się ustalić statusu dostawcy usługi SaaS bez zaznajomienia się z jej absolutnie wszystkimi detalami technicznymi. Potrzebny jest dialog prawnika z informatykiem i dokładne wyjaśnienie sposobu działania usługi.

 

Jeśli usługa zbudowana jest w ten sposób, że dostawca SaaS nie jest w stanie zajrzeć do danych wprowadzanych przez osoby trzecie – wówczas nie może być mowy o tym, że dostawca ma status administratora danych lub procesora. Taki model jest możliwy, jednak – jak wskazuje praktyka – bardzo rzadko spotykany. Zdecydowanie niewiele usług SaaS jest zbudowanych tak, że ich dostawcy nie mają technicznej możliwości, aby sprawdzić, jakie dane wprowadzili ich użytkownicy. Dostawca SaaS nie będzie administratorem lub procesorem danych tylko wówczas jeśli zbuduje usługę w ten sposób, że rzeczywiście nie będzie miał żadnej technicznej możliwości rozszyfrowania danych osobowych. Jeśli zaś dostawca co prawda szyfruje dane, jednak może (np. łamiąc własne zabezpieczenia), zajrzeć w dane osobowe wprowadzone do systemu przez Jana Kowalskiego, nie może być mowy o tym, że nie ma statusu administratora danych lub procesora.

 

Rozstrzygnięcie, czy dostawca usługi SaaS-owej, do której Jan Kowalski wprowadza dane osobowe np. swoich kontrahentów jest administratorem (czyli podmiotem, który decyduje o celu i zakresie przetwarzania danych), czy jedynie procesorem (czyli podmiotem, który upoważnia dostawcę do przetwarzania w ściśle określonym celu i zakresie) jest trudne. Tak naprawdę nie da się przesądzić i stworzyć uniwersalnej odpowiedzi. Wymaga to każdorazowego poznania usługi, jej detali technicznych i rozstrzygnięcia zakresu uprawnień, jakie funkcjonalności usługi dają jego dostawcy.

 

Ciekawym zagadnieniem jest rozstrzygnięcie, kto ponosi odpowiedzialność za przetwarzanie danych osobowych jeśli np. Jan Kowalski korzystający z usługi SaaS nie poinformuje dostawcy, że będzie wprowadzał dane osobowe do aplikacji, a wręcz np. złoży oświadczenia (w umowie lub przez zaznaczenie checkboxa), że nie będzie wprowadzał takich danych? Z punktu widzenia art. 12-15 ustawy o ochronie danych osobowych, dostawca SaaS nie ma obowiązku weryfikacji, jakie dane otrzymuje od użytkownika. Co więcej, jeśli otrzyma dodatkowe zapewnienie, że nie są to dane osobowe, wydawać by się mogło, że nie będą na nim ciążyły żadne obowiązki. Dostawcy usług SaaS mogą więc zadawać użytkownikom pytanie o rodzaj wprowadzanych danych. Jednak, niedorzeczne byłoby zasłanianie się przez nich usprawiedliwieniem, iż odebrali od użytkownika oświadczenie o tym, że nie będzie wprowadzał do usługi danych osobowych, jeśli np. formularze w usłudze są naszpikowane pytaniami o dane osobowe i oczywiste jest, że każdy użytkownik usługi będzie tam wprowadzał dane np. swoich klientów/ kontrahentów.

 

Konkluzja z tego wywodu jest jedna – poprawne uregulowanie postępowania z danymi osobowymi w usłudze SaaS wymaga szczegółowej analizy jej działania, weryfikacji technicznych detali, a przede wszystkim dobrej komunikacji na linii prawnik – informatyk/programista/dostawca usługi.