Zgłoszenie zbioru danych osobowych do GIODO cz. 2 – hosting

Podejmując decyzję o zgłoszeniu zbioru danych do GIODO, należy wziąć pod uwagę wiele różnych kwestii. Jednym z czynników, który często bywa pomijany, jest wybór odpowiedniego dostawcy hostingowego, który będzie gwarantował wysoki poziom bezpieczeństwa.

giodo

Zgłaszając zbiór danych osobowych do GIODO, Administrator danych, zobowiązany jest do podania (w części E oraz F wniosku) ważnych informacji na temat technicznych oraz organizacyjnych środków ochrony zbioru danych osobowych. Prawo nakłada na Administratora stosowanie odpowiednich zabezpieczeń w zależności od charakteru zbioru, miejsca jego przechowywania oraz możliwości łączenia się z nim poprzez sieć Internet.

 

Na początku, należy uszczegółowić jak prowadzony jest zbiór danych osobowych. Centralne przetwarzanie zbioru oznacza, że dane osobowe znajdują się w jednym konkretnym miejscu. Może to być kartoteka znajdująca się w siedzibie firmy, komputer lub serwer dzierżawiony od firmy hostingowej. Ważne, aby dane znajdowały się w jednym konkretnym miejscu.

Przetwarzanie danych w architekturze rozproszonej oznacza, iż zbiór (lub jego części) mogą znajdować się w różnych miejscach jednocześnie na przykład na kilku komputerach w różnych lokalizacjach. Jeśli dostawca rozwiązań serwerowych oferuje geo-redundancję, korzysta z kilku serwerowni lub tworzy backupy gdzie indziej – zbiór danych również może być rozproszony.

serwery NQ.pl

Kolejny krok to określenie, czy urządzenie na którym przechowywany jest zbiór danych osobowych jest podłączony do sieci Internet. Jeśli tak, niezbędne będzie zastosowanie wysokich środków bezpieczeństwa.

Co należy rozumieć pod pojęciem „wysokie środki bezpieczeństwa”?

Odpowiedź na to pytanie znajduje się w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024). Rozporządzenie precyzuje między innymi jakie środki techniczne i organizacyjne należy zastosować w celu należytej i zgodnej z wymaganiami ochrony zbiorów danych osobowych.

Jeśli zbiór danych osobowych znajduje się na serwerze firmy hostingowej,ona także powinna spełniać warunki określone w rozporządzeniu. Infrastruktura NQ.pl jest zabezpieczona zgodnie z w.w. dokumentem na poziomie wysokim co potwierdził przeprowadzony kilka lat temu audyt.

Określony w rozporządzeniu zakres zabezpieczeń jest szeroki i obejmuje między innymi:

  1. Dostęp do obszaru w którym dokonuje się przetwarzania danych osobowych
  2. Mechanizmy dostępu oraz ewentualnie mechanizmy kontroli dostępu osób, upoważnionych do systemu informatycznego w ramach którego przetwarzane są dane osobowe a także fizyczne i logiczne środki ochrony systemu przed nieuprawnionym dostępem z sieci publicznej
  3. Zabezpieczenia systemu informatycznego przed nieuprawnionym dostępem
  4. Kopie zapasowe oraz miejsca ich przechowywania
  5. Nośniki danych (likwidacja, naprawa, przekazywanie innym podmiotom)
  6. Środki ochrony kryptograficznej

Implikacje dla Administratora zbiorów danych osobowych

Podmiot, który przetwarza dane osobowe musi (w zależności jaki charakter ma zbiór oraz jak jest przechowywany) odpowiednio zabezpieczyć swoje zbiory. Jeśli zbiory danych przechowywane są na serwerach firmy hostingowej, to ona również przetwarza dane osobowe i powinna spełniać normy określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji.

podpisanie_umowyRzetelny usługodawca powinien umożliwić podpisanie umowy o powierzeniu przetwarzania danych osobowych. NQ.pl od dawna daje taką możliwość swoim Klientom bezpłatnie. Więcej na ten temat można znaleźć tutaj.

Czy każdy provider umożliwia podpisanie umowy o powierzeniu przetwarzania danych osobowych? Nie, wielu dostawców do tej pory nie daje takiej możliwości swoim Klientom. Kolejne trudności pojawiają się w przypadku firm, które korzystają z serwerów zagranicznych firm. Takie podmioty również mogą nie oferować podpisanie takiej umowy.

NQ.pl posiada przygotowany wzór umowy o powierzeniu przetwarzania danych osobowych, którą Każdy Klient może otrzymać drogą mailową.

Comments are closed.