LH.pl · Dział pomocy
W biznesie, jak i w życiu, często dążymy do maksymalizacji zysku oraz minimalizacji strat. W przypadku branży zajmującej się tworzeniem stron internetowych, jedną z takich praktyk jest utrzymywanie witryn klientów na serwerze współdzielonym będącym własnością firmy, która ją wykonała, lub zakup serwera z podaniem danych wykonawcy usługi. Z tego artykułu dowiesz się, czy takie rozwiązanie jest oby na pewno dobrym pomysłem.
Wprowadzenie
Jeśli zajmujesz się tworzeniem stron internetowych, to pewnie nie raz słyszałeś jedno z dwóch poniższych pytań z ust Twoich klientów:
- Pytanie nr 1: „Nie wiem, gdzie to trzeba kliknąć i szczerze mówiąc nie mam czasu się tym teraz zajmować. Nie możecie kupić dla mnie tego hostingu, a ja potem wam to zwrócę, płacąc za całą usługę?”
- Pytanie nr 2: „Ile trzeba płacić za ten hosting? I to co roku muszę potem o tym pamiętać? A nie moglibyście wymyślić czegoś taniej, żebym nie musiał sobie tym zaprzątać głowy?”
Jeśli działasz na rynku nie od dziś, to z pewnością znasz również odpowiedzi, które usatysfakcjonowałyby Twojego rozmówcę, zapewniając pozornie udany początek Waszej współpracy. Brzmią one mniej więcej tak:
- Odpowiedź nr 1: „Nie ma problemu. Kupię hosting na swoje dane i doliczę ten koszt do faktury na koniec naszej współpracy.”
- Odpowiedź nr 2: „To prosta strona, nie zajmuje dużo miejsca, więc podepnę Waszą domenę pod swój serwer współdzielony, tak żeby nic nie wygasło, i co roku będziemy się rozliczać za utrzymanie strony na preferencyjnych warunkach.”
Jeśli czytasz uważnie, to na pewno właśnie zastanawiasz się, dlaczego w poprzednim akapicie zdecydowałem się użyć sformułowania „pozornie udany początek”. W tym miejscu pozostaje mi pogratulować ci spostrzegawczości i zapewnić cię, że w dalszej części tego artykułu znajdziesz odpowiedź na to pytanie.
Niedźwiedzia przysługa
Zacznijmy może od tego, czym jest przywołana w tytule „niedźwiedzia przysługa”. Zgodnie z definicją sformułowaną przez prof. Jerzego Bralczyka dostępną w Słowniku Języka Polskiego, jest to szkodliwe działanie w dobrej intencji pomocy komuś. Inaczej mówiąc: chcemy dobrze, a wychodzi wręcz odwrotnie.
Powyższy związek frazeologiczny idealnie pasuje do omawianego przez nas w tym artykule zagadnienia. Kupując hosting dla klienta i podając przy tym swoje dane lub utrzymując jego stronę na własnym serwerze współdzielonym, zapewne mamy dobre intencje, jednak nie zdajemy sobie sprawy z możliwych konsekwencji naszych działań, a te mogą być naprawdę nieciekawe.
Bezpieczeństwo i wydajność
Po pierwsze przyjrzyjmy się kwestii bezpieczeństwa danych. Umieszczenie wielu stron internetowych na jednym serwerze oznacza, że jeśli jeden klient doświadczy ataku lub utraty danych, istnieje ryzyko, że może to wpłynąć na inne strony znajdujące się na tym samym serwerze. To zagrożenie jest naprawdę istotne i nie powinniśmy go lekceważyć, zwłaszcza gdy naszymi klientami są firmy, których strony przechowują poufne dane.
Od strony technicznej należy jeszcze dodać, że nadmierne obciążanie hostingu współdzielonego może prowadzić do spowolnienia strony w przypadku, gdy jedna z witryn na serwerze zużywa zbyt wiele jego zasobów. Zjawisko to może negatywnie wpłynąć na doświadczenia użytkownika, a także na pozycjonowanie strony w wynikach wyszukiwania. Co więcej, to rozwiązanie nie daje nam pełnej kontroli nad konfiguracją serwera, więc nie będziemy mieli możliwości dostosowania go do indywidualnych potrzeb naszych klientów i realizowanych dla nich projektów.
Pamiętaj również, że jeśli Twoja współpraca z klientem, którego stronę utrzymujesz na swoim hostingu współdzielonym, dobiegnie końca, to będziesz miał dodatkowy kłopot z przeniesieniem jego danych. Jeśli nie chcesz mieć na swojej głowie eksportowania plików strony, jej bazy danych oraz e-maili, to zadbaj o to już na początku współpracy z klientem, wykupując dla niego oddzielną usługę hostingową. Tak będzie najprościej.
Ochrona danych osobowych
Właściciele stron internetowych powinni pamiętać o ich obowiązkach związanych z ochroną danych osobowych. Zgodnie z przepisami prawa, szczególnie w kontekście Rozporządzenia o Ochronie Danych Osobowych (dalej: RODO), przechowywanie danych osobowych klientów na własnych serwerach wymaga przestrzegania surowych zasad bezpieczeństwa (art. 32 RODO).
Firmy muszą zabezpieczyć takie dane przed ich utratą, nieautoryzowanym dostępem oraz innymi zagrożeniami. Choć RODO obowiązuje od 25 maja 2018 roku, a jego wprowadzenie było poprzedzone szeroko zakrojoną kampanią informacyjną, to w świadomości społecznej najbardziej utrwalił się w tym kontekście jedynie obraz wielomilionowych kar, które mogą zostać nałożone za jego nieprzestrzeganie.
W tym miejscu należy zadać sobie kolejne kluczowe pytanie: W jaki sposób powinniśmy zadbać o wdrożenie RODO podczas tworzenia strony internetowej i jaką rolę w tym procesie odgrywa hosting?
Zacznijmy może od tego, że przepisy nie przewidują takiego samego zakresu obowiązków dla każdego administratora strony. „Zabawa” z RODO zaczyna się dopiero w chwili, w której przetwarzane są jakiekolwiek wrażliwe informacje użytkowników, czyli dane osobowe, które – najprościej rzecz ujmując – pozwalają na ich konkretną identyfikację (np. adres e-mail, adres IP itp.). Proces przetwarzania danych obejmuje m.in. ich przechowywanie, zbieranie, rejestrowanie czy też modyfikację.
Właściciel witryny internetowej, w ramach której następuje przetwarzanie danych osobowych, w znacznej większości przypadków pełni funkcję ich administratora. Specyfika funkcjonowania stron internetowych sprawia jednak, że nieuniknione jest przekazywanie danych osobowych do innego podmiotu, np. dostawcy usług hostingowych, na którego serwerze jest utrzymywana twoja strona i który również ponosi odpowiedzialność za ich bezpieczeństwo (hosting powinien m.in. zapewniać dostępność usług oraz ich ochronę przed cyberatakami).
Nie możemy jednak przy tym zapomnieć, że to właściciel strony nadal pełni funkcję administratora danych osobowych. Ich przekazanie do dostawcy usług hostingowych, w żaden sposób nie zwalnia go z obowiązku dbania o ich właściwe zabezpieczenie. W tym właśnie celu konieczne jest sporządzenie umowy powierzenia danych osobowych, którą zawiera się z firmą hostingową.
Tu pojawia się kluczowa rozbieżność w odniesieniu do tego kto jest właścicielem hostingu współdzielonego: czy jest nim firma, która wykonywała stronę internetową, czy podmiot zlecający wykonanie tej usługi. Weźmy pod uwagę oba przypadki:
Przypadek nr 1: Jeśli firma zlecająca wykonanie strony internetowej posiada swoje indywidualne konto hostingowe, to ma ona możliwość zawarcia z dostawcą usług hostingowych umowy powierzenia danych osobowych – problemu nie ma.
Przypadek nr 2: Jeśli będąc wykonawcą stron internetowych utrzymujesz wiele projektów na jednym koncie hostingowym, stajesz się częścią procesu przetwarzania danych osobowych tych witryn (w tym danych o charakterze wrażliwym, jeśli takowe są zbierane w ich obrębie). Jak już wcześniej ustaliliśmy w normalnym toku czynności proces ten odbywa się bezpośrednio na linii administrator danych osobowych – dostawca hostingu. W sytuacji opisanej wyżej problem jest, ponieważ firma zlecająca wykonanie strony internetowej nie ma możliwości podpisania z dostawcą hostingu umowy powierzenia danych osobowych, a ty nie powinieneś w tym wypadku wstępować w jej prawa w charakterze podmiotu pośredniczącego.
Prawo nie przewiduje instytucji „subpowierzenia” danych osobowych, więc taka konstrukcja prawna zwyczajnie nie istnieje, co stwarza niebezpieczeństwo nie tylko po stronie firmy, która zgodnie z Polityką Prywatności jest administratorem danych osobowych swoich użytkowników, ale także po twojej stronie, ponieważ będąc wykonawcą witryny zyskujesz i wciąż masz nieuprawniony dostęp do danych osobowych wielu różnych podmiotów, których strony internetowe są utrzymywane na twoim hostingu współdzielonym.
Opisana wyżej sytuacja może skutkować brakiem dostępu przez twoich klientów do istotnych procedur związanych z ochroną danych, których konsekwencje opisałem szerzej w kolejnej części tego artykułu.
Przepisy prawne i konsekwencje ich nieprzestrzegania
Znana łacińska paremia mówi: „ignorantia iuris nocet” (nieznajomość prawa szkodzi). Brak znajomości powoływanych wyżej przepisów nie zwalnia nas z odpowiedzialności za ich nieprzestrzeganie.
W tym miejscu należy wskazać trzy kategorie grożących nam konsekwencji:
I. Kary finansowe: RODO przewiduje surowe kary finansowe dla firm, które nie przestrzegają przepisów dotyczących ochrony danych osobowych (art. 83 RODO). Na dany podmiot może być nałożona kara w wysokości do 10 lub 20 mln euro bądź do 2 lub 4% całkowitego rocznego obrotu (zastosowanie ma kwota wyższa).
II. Szkody wizerunkowe: Naruszenie bezpieczeństwa danych może prowadzić do poważnych szkód reputacyjnych. Klienci, których bezpieczeństwo danych zostało naruszone, mogą stracić zaufanie do firmy, co może wpłynąć negatywnie na Twój biznes.
III. Pozwy i odpowiedzialność prawna: Firmy, które nie przestrzegają przepisów dotyczących ochrony danych osobowych, mogą być narażone na pozwy ze strony klientów oraz działania podjęte przez odpowiednie organy nadzoru (art. 82 RODO).
Jak zatem zorganizować hosting dla klienta?
Firmy zajmujące się tworzeniem stron internetowych powinny być świadome znaczenia wyboru odpowiedniej infrastruktury hostingowej oraz ryzyka związanego z przechowywaniem danych na własnych serwerach. Utrzymywanie wielu stron w ramach jednego hostingu współdzielonego, jak również zakup takiego hostingu na własne dane, może wydawać się wygodniejszą i tańszą opcją, ale niesie za sobą poważne zagrożenia związane z bezpieczeństwem, wydajnością oraz konsekwencjami natury prawnej.
W mojej firmie jesteśmy świadomi tych niebezpieczeństw, dlatego zawsze wykupujemy indywidualny hosting dla każdego klienta. Co więcej, jest to rozwiązanie nie tylko optymalne od strony technicznej i prawnej, ale jest również… najwygodniejsze. Klient, który jest właścicielem swojego hostingu, samodzielnie go opłaca, a ty masz dzięki temu spokojną głowę i nie musisz pilnować, aby zdążył zapłacić za przedłużenie serwera na czas.
Posiadanie przez klienta własnego hostingu przekłada się również na mniejszą liczbę pytań kierowanych bezpośrednio do ciebie. Uwierz mi, że naprawdę nie chcesz odbierać telefonów od swoich klientów typu: „Czy mogę prosić o założenie dodatkowej skrzynki e-mailowej?” lub „Chyba na moim e-mailu kończy się miejsce. Co mogę z tym zrobić?” Z takimi pytaniami twoi klienci mogą zgłosić się bezpośrednio do Biura Obsługi Klienta firmy hostingowej, unikając konieczności bezpośredniego kontaktu z tobą.
W dodatku nie możesz wykluczyć wystąpienia sytuacji, w której ty wywiążesz się ze swojego zobowiązania i „odnowisz” serwer na czas, ale klient już ci za to nie zapłaci. Dlatego właśnie – abstrahując od całości powyższych rozważań o bezpieczeństwie, wydajności i zgodności z obowiązującym prawem – dla świętego spokoju najlepiej jest wyznawać zasadę: jeden klient = jeden serwer.
Podsumowanie
Na zakończenie przedstawiam krótkie podsumowanie najważniejszych informacji płynących z tego artykułu z rekomendowanym przeze mnie planem działania do wdrożenia pod roboczą nazwą „Szczęśliwy Webmaster”:
- Dla każdego klienta kupuj oddzielną usługę hostingową.
- Kupując hosting dla klienta, podawaj zawsze dane jego firmy, a nie swojej.
- Przekaż te dane klientowi. Naprawdę nie potrzebujesz brać na swoje barki obowiązków oraz odpowiedzialności innych osób.
Nie możemy zapominać, że w dzisiejszych czasach obecność w wirtualnym świecie stała się istotnym elementem sukcesu dla wielu firm. Wybór odpowiedniej infrastruktury internetowej ma kluczowe znaczenie dla przedsiębiorców, którzy pragną do nich dołączyć. Mam nadzieję, że po lekturze tego artykułu zdajesz sobie sprawę z tego, dlaczego powinieneś unikać utrzymywania stron internetowych wielu różnych podmiotów w obrębie jednego hostingu współdzielonego oraz dlaczego zakup serwera na własne dane rejestrowe może być ryzykownym rozwiązaniem zarówno dla ciebie, jak i twojego klienta.