Umowa o hosting strony internetowej. Aspekty prawne

Na czym polega hosting?

Hosting to usługa polegająca na udostępnieniu miejsca na serwerach (dyskach twardych) będących w posiadaniu przez hostingodawcę podmiotom trzecim. Zazwyczaj będą nimi przedsiębiorcy, którzy potrzebują „wizytówki” w przestrzeni wirtualnej. W zależności od ustaleń między stronami umowa o hosting może obejmować nie tylko samą przestrzeń na serwerze, ale również tworzenie backupu danych, zabezpieczenia danych wgrywanych na serwer czy udostępnienie gotowej bazy danych do wykorzystania.

Dzięki hostingowy elementy witryny internetowej są przesyłane do użytkownika, który wpisuje adres URL w przeglądarce internetowej. Dzięki temu strona jest widoczna w sieci i indeksowana przez crawlery Google lub boty innych dostawców wyszukiwarek internetowych.

Hosting to jednak nie tylko strony internetowe, ale wszelkiego rodzaju usługi chmurowe, które bazują na przechowywaniu danych wgrywanych na serwer. W tym kontekście z hostingu korzystają wszystkie firmy, które używają usług typu IaaS czy SaaS.

Jakie postanowienia powinny znaleźć się w regulaminie usługi hostingowej?

Z prawnego punktu widzenia hosting jest klasyfikowany jako usługa świadczona drogą elektroniczną. Oznacza to, że obejmują ją przepisy o świadczeniu usług drogą elektroniczną ze wszystkimi tego konsekwencjami.

Szczególnie doniosłe znaczenie ma obowiązek usługodawcy do przygotowania regulaminu świadczenia usługi, a także nieodpłatnego udostępnienia dokumentu usługobiorcy przed zawarciem umowy. Dodatkowo na wyraźne żądanie usługodawca powinien udostępnić odbiorcy usługi regulamin w taki sposób, aby było możliwe jego odtwarzanie i utrwalanie. Co powinno się w takim regulaminie znaleźć? Zgodnie z art. 8 ustawy o świadczeniu usług drogą elektroniczną są to przede wszystkim:

rodzaj i zakres usług świadczonych drogą elektroniczną;
warunki świadczenia usług drogą elektroniczną, w tym:

wymagania techniczne niezbędne do współpracy z systemem teleinformatycznym, jakim posługuje się usługodawca;
zakaz umieszczania treści o charakterze bezprawnym;

warunki zawierania i rozwiązywania usług o świadczenie usług drogą elektroniczną;
tryb postępowania reklamacyjnego.

Co istotne usługobiorca, który regulaminu nie otrzymał, nie jest związany jego postanowieniami. Należy także pamiętać, że w przypadku kiedy usługobiorcą będzie konsument, a nie przedsiębiorca, zastosowanie dodatkowo znajdą przepisy dotyczące ochrony praw konsumenta wynikające z ustawy o prawach konsumenta (w tym np. prawo do odstąpienia od umowy).

W jaki sposób przepisy określają obowiązki usługodawcy w umowie hostingu?

Konieczność opracowania regulaminu nie jest jedynym obowiązkiem, jaki przepisy ustawy o świadczeniu usług elektronicznych nakładają na przedsiębiorcę. Zgodnie z jej art. 6 usługodawca jest zobowiązany udostępnić aktualne informacje o:

szczególnych zagrożeniach związanych z usługą świadczoną drogą elektroniczną;
funkcji i celu oprogramowania lub danych niebędących składnikiem treści usługi, wprowadzanych przez usługodawcę do systemu teleinformatycznego, którym posługuje się usługobiorca.

O jakie zagrożenia chodzi? Przede wszystkim będą to różnego rodzaju ataki cybernetyczne jak np. oprogramowanie malware, w tym wirusy i konie trojańskie, a także oprogramowanie ransomware, adware, spyware i phishingowe, możliwość wykorzystania przez hakerów exploitów, rootkitów czy wykonywania ataków zero-day.

Ważne jest, aby taką listę regularnie aktualizować. Dzięki temu usługodawca nie narazi się na zarzut, że nie wykonał swoich obowiązków informacyjnych. Warto też zastrzec, że usługobiorca może uniknąć tego rodzaju zagrożeń poprzez włączenie systemowej zapory lub instalację i aktualizację programu antywirusowego.

Z kolei oprogramowaniem niebędącym częścią usługi mogą być różnego rodzaju wtyczki niezbędne do prawidłowego działania strony internetowej lub innej usługi bazującej na hostingu.

Na co zwrócić uwagę w treści umowy hostingu?

Umowa o hosting jest rodzajem kontraktu nienazwanego, najbardziej zbliżonego do umowy zlecenia. Niemniej jednak strony mają możliwość określenia jej warunków na podstawie zasady swobody umów wyrażonej w art. 3531 k.c. Zgodnie z treścią powołanego przepisu strony mogą ułożyć stosunek prawny według swojego uznania tak długo, jak jego treść nie narusza obowiązujących przepisów prawa, zasad współżycia społecznego oraz istoty danego stosunku prawnego.

Wynika z tego, że nie ma jednego, uniwersalnego wzorca umowy hostingowej, ale każdorazowo powinna być ona formułowana odrębnie, z uwzględnieniem interesów stron. Jakie informacje mają kluczowe znaczenie z punktu widzenia usługodawcy, a jakie z punktu widzenia usługobiorcy?

Czas trwania umowy i sposób jej rozwiązania

Umowa hostingowa może zostać zawarta na czas określony lub nieokreślony. W tym pierwszym przypadku strony zapewniają sobie stabilność stosunku prawnego, którego – co do zasady – nie można wypowiedzieć przed upływem czasu trwania umowy, chyba że przewiduje on taką możliwość. W takiej sytuacji w kontrakcie należy przewidzieć listę przesłanek, które legitymują każdą ze stron do złożenia oświadczenia o wypowiedzeniu oraz przewidzieć okres wypowiedzenia.

Umowy zawierane na czas nieokreślony mogą być wypowiedziane przez każdą ze stron w dowolnym terminie, z zachowaniem umownego terminu wypowiedzenia, a w przypadku jego braku – niezwłocznie po złożeniu oświadczenia o wypowiedzeniu.

Pomoc techniczna usługodawcy

Usługobiorca powinien zadbać, aby w umowie znalazło się postanowienie o tym, że może żądać udzielenia nieodpłatnej pomocy technicznej w okresie funkcjonowania umowy. Należy jednak pamiętać, że dostawca hostingu odpowiada wyłącznie za prawidłowe działanie serwerów oraz ich oprogramowania. Będzie to więc zarówno hardware w rozumieniu dysków twardych, jak i software – oprogramowanie DNS, baz danych i pozostałe, a także administrowanie tymi zasobami.

Usługodawca nie ponosi jednak odpowiedzialności za dane, które dostarcza usługobiorca, czyli kod źródłowy strony lub aplikacji, ich rozwój, aktualizacja i konfiguracja.

Odpowiedzialność dostawcy hostingu za ciągłość świadczenia usługi i zabezpieczenia

Umowa o hosting powinna dokładnie określać parametry pracy serwera. Będzie to przede wszystkim:

pojemność i transfer;
ilość i rodzaj baz danych;
obsługiwane języki programowania i technologie na serwerze – im strona ma być większa, bardziej złożona i skomplikowana, tym te rozwiązania powinny być bardziej nowoczesne;
dostępność serwera (tzw. uptime);
lokalizacja serwera;
technologia monitorująca sprawność i bezpieczeństwo serwera;
maksymalna liczba jednoczesnych połączeń http – im więcej, tym większa liczba użytkowników może jednocześnie korzystać z zasobów strony.

Usługobiorcy, którzy przewidują, że ich usługa będzie generowała duży ruch, mogą doprecyzować nawet takie kwestie, jak maksymalna liczba maili wysłanych w ciągu godziny czy liczba odbiorców UD/UDW dla jednej wiadomości.

Usługa świadczona jest w sposób ciągły, niemniej jednak może dojść do sytuacji, kiedy dostęp do strony będzie niemożliwy (np. w wyniku ataku DoS), ale opłaty cały czas będą naliczane. Właśnie dlatego umowa powinna określać, jak powinno wyglądać zgłoszenie nieprawidłowości pracy serwera oraz ile czasu ma usługodawca na usunięcie usterki w zależności od stopnia jej skomplikowania. W tym kontekście umowa hostingowa przypomina nieco umowę utrzymaniową SLA.

W umowie należy zwrócić też uwagę czy usługodawca oferuje certyfikaty bezpieczeństwa. Przede wszystkim jest to SSL oraz TLS, a także protokoły FTPS czy SSH. Wszystkie te technologie służą zwiększeniu bezpieczeństwa przesyłania informacji. Ma to kluczowe znaczenie, jeżeli strona internetowa lub usługa przewiduje możliwość realizowania płatności internetowych.

Same serwery wraz z oprogramowaniem powinny być chronione przez programy zapewniające ochronę antywirusową, antyspyware’ową oraz antyphishingową. Warto w umowie doprecyzować zarówno zakres takiej ochrony, jak i obowiązki hostingodawcy w tym zakresie, np. aktualizacja bazy danych szkodliwego oprogramowania czy zapewnienie ciągłości ochrony antywirusowej.

Jak określić wynagrodzenie w umowie hostingowej?

Z reguły opłaty za usługi hostingowe mają charakter abonamentowy, co oznacza, że są uiszczane cyklicznie (np. co miesiąc). Strony powinny jednak ustalić, jakie dokładnie czynności realizowane przez usługodawcę opłacane są zryczałtowaną, a za które należy się dodatkowe wynagrodzenie.

W katalogu usług dodatkowych może mieścić się np. robienie kopii zapasowej danych na serwerze, a także prace diagnostyczne czy odzyskiwanie informacji po ataku hakerskim.

Hosting współdzielony czy dedykowany?

Usługi hostingowe można podzielić na te, w ramach których klient otrzymuje dedykowany adres IP, jak i te, gdzie jeden adres jest wykorzystywany przez kilku użytkowników. Rozwiązania współdzielone są dobre zwykle dla małych i średnich firm, a także użytkowników prywatnych, ponieważ pozwalają na obniżenie kosztów utrzymania strony internetowej. Niestety w praktyce takie rozwiązanie nie zawsze się sprawdza.

Usługa współdzielona oznacza, że przestrzeń na dysku i moc obliczeniowa procesora/RAM jest wykorzystywana jednocześnie przez kilka grup zasobów. Jeśli jedna z tych grup generuje duży ruch, a dane z serwera przesyłane są często, automatycznie pozostałe witryny „spowalniają”. To także mniejsze bezpieczeństwo, ponieważ atak na jedną z domen może narazić również inne witryny korzystające z tego samego hostingu.

Warto zdawać sobie sprawę, że zaletą hostingu dedykowanego nie jest wyłącznie szybsza i bezpieczniejsza strona, ale też potencjalnie większy zysk. Wiele wyszukiwarek internetowych – w tym Google – traktuje czas odpowiedzi serwera jako czynnik rankingowy domeny. W rezultacie może się okazać, że współdzielenie zasobów spowoduje, że biznes w internecie będzie rozwijał się wolniej, ponieważ strona będzie indeksowana z gorszą pozycją.

Aby uniknąć nieporozumień w treści umowy, należy wskazać, na jakiego rodzaju hosting decyduje się usługobiorca.

Jak często wykonywać kopie zapasowe?

Ważne jest, aby w umowie hostingowej wskazać, jak często usługodawca ma wykonywać kopie zapasowe danych gromadzonych na serwerze. Im ta częstotliwość będzie większa, tym użytkownicy mogą wygodniej korzystać ze strony, a integralność jej zawartości zostaje w mniejszym stopniu naruszona. Taki backup może być wykonywany raz lub nawet kilka razy na dobę i przechowywany przez określoną liczbę dni, aby w razie potrzeby pliki można było łatwo zastąpić lub przywrócić.

Umowa hostingowa a RODO

Przedsiębiorca korzystający z usług hostingowych nie powinien zapominać, że to on jest administratorem danych osobowych przetwarzanych na stronie (np. w związku z realizacją zamówień e-commerce) w rozumieniu przepisów rozporządzenia RODO. Hostingodawca staje się procesorem, czyli podmiotem przetwarzającym dane osobowe w zakresie i celu określonym przez administratora. W związku z tym obok umowy o hosting konieczne będzie zawarcie odrębnej umowy o powierzenie przetwarzania danych osobowych.

Zgodnie z art. 28 RODO administrator może korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie było zgodne z RODO i chroniło prawa osób, których dane dotyczą. Co powinno znaleźć się w umowie powierzenia? Przede wszystkim będzie to:

przedmiot i czas trwania przetwarzania danych osobowych;
charakter i cel przetwarzania danych osobowych;
rodzaj danych osobowych;
kategorie osób, których dane dotyczą;
obowiązki i prawa administratora.

Czy hostingodawca musi stosować przepisy DSA i co z tego wynika?

Wejście w życie rozporządzenia o usługach cyfrowych (DSA) nakłada na podmioty świadczące tzw. usługi pośrednie – w tym hosting – obowiązek spełnienia określonych obowiązków. W szczególności rozporządzenie wymaga:

ustanowienia punktu kontaktowego dla organów państw członkowskich, Komisji i Rady Usług Cyfrowych, a także odbiorców usługi pośredniej;
wyznaczenia przedstawiciela prawnego, jeżeli dostawca usług nie ma siedziby w Unii;
sporządzenia raportów w zakresie przejrzystości co najmniej raz w roku i udostępnianiu ich do wiadomości publicznej;
wprowadzenia procedury notice & action, czyli możliwości zgłoszenia treści uznanych przez zgłaszającego za nielegalne oraz podjęcia działań w tym zakresie oraz sporządzania uzasadnień.

Obowiązki wynikające z DSA nie muszą być wskazywane wprost w umowie, ponieważ ich podstawą jest rozporządzenie unijne, wywierające we wszystkich krajach bezpośredni skutek prawny. Wypada wspomnieć, że rozporządzenie DSA ogranicza konieczność stosowania wybranych obowiązków przez małych i średnich przedsiębiorców. W razie wątpliwości, które przepisy dotyczą hostingodawcy, warto skorzystać z konsultacji prawnych.

Dla wielu przedsiębiorców fakt, że ich witryna działa sprawnie, wydaje się oczywiste. Kiedy jednak danych zaczyna przybywać, a ruch na stronie wzrasta, może się okazać, że dotychczasowe warunki hostingu nie wystarczają. Często bywa też tak, że hostingobiorcy zapominają o należytym zabezpieczeniu własnych interesów, poprzestając jedynie na ogólnym określeniu parametrów serwera.

Kancelaria Prawna RPMS świadczy kompleksowe usługi w zakresie rynku nowych technologii. Nasi specjaliści przeanalizują w sposób szczegółowy umowę hostingu, wskażą na potencjalne zagrożenia, a także doradzą, w jaki sposób reprezentowana strona może efektywnie zabezpieczyć swoje interesy.

¹https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32022R2065

² https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=wdu20021441204

³ https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=wdu20140000827

⁴ https://isap.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=wdu19640160093

⁵ https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=celex%3A32016R0679

Pytania i odpowiedzi

Podpisałem umowę o hosting. Czy to oznacza, że na serwerze może działać dowolna liczba domen?

To zależy od wybranego pakietu hostingowego. Te najprostsze obsługują wyłącznie jedną domenę. Droższe i bardziej rozbudowane umożliwiają wykorzystanie większej liczby domen, w tym także zagranicznych. Należy podkreślić, że opłaty za poszczególne domeny zazwyczaj różnią się między sobą.

Hostingodawca stwierdził naruszenie danych osobowych osób fizycznych korzystających ze strony internetowej, którą hostuje na swoich serwerach. Czy powinien zgłosić taki incydent do Prezesa UODO?

Nie, zgłoszenie incydentu powinno być dokonane przez administratora danych osobowych. Zgodnie jednak z brzmieniem art. 33 ust. 2 RODO, podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki powinien zgłosić je administratorowi.

Czy hostingodawca może odpowiadać za naruszenie ochrony danych osobowych?

Tak, możliwość pociągnięcia podmiotu przetwarzającego wynika z art. 82 ust. 1 RODO. Procesor odpowiada za wyrządzoną szkodę majątkową lub niemajątkową, chyba że wykaże, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody. W interesie podmiotu przetwarzającego leży więc dochowanie należytej staranności przy realizacji swoich obowiązków.

MAM PYTANIA | JESTEM ZAINTERESOWANY / A OFERTĄ

Zaufali nam

5/5 - (liczba głosów: 1)