Temat: Safe Harbor / Bezpieczny Port w praktyce

Otrzymujemy od naszych Klientów wiele pytań „czy przetwarzanie danych osobowych na serwerach w USA jest zgodne z polskimi przepisami ochrony danych osobowych”, bo jak wiadomo USA zalicza się do „państw trzecich”, czyli nie należących do Europejskiego Obszaru Gospodarczego. Odpowiedzi należy szukać w polityce prywatności Państwa dostawcy np. hostingu. Jeśli zadeklarował posiadanie certyfikatu ‘Safe Harbor’ może to oznaczać, że spełnia europejskie normy w zakresie danych osobowych. Mimo wszystko zalecamy dokładną analizę regulaminów i warunków świadczenia usług (TOS).

Informacja GIODO na ten temat:
Uchwalona w dniu 24 października 1995 r. Dyrektywa 95/46/WE Parlamentu Europejskiego oraz Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnym przepływie tych danych zakazuje, co do zasady, przekazywania danych osobowych do krajów niezapewniających odpowiedniego poziomu zabezpieczeń. Z uwagi na różnice pomiędzy prawodawstwem Unii Europejskiej oraz Stanów Zjednoczonych państwo to nie może zostać uznane za gwarantujące odpowiedni poziom ochrony danych osobowych.

Mając na uwadze, że sytuacja taka w znacznym stopniu hamuje wymianę gospodarczą pomiędzy Unią Europejską a Stanami Zjednoczonymi Departament Handlu Stanów Zjednoczonych wypracował w porozumieniu z Komisją Europejską program „Safe Harbour”; umożliwiający amerykańskim podmiotom gospodarczym sprostanie wymaganiom wskazanej na wstępie Dyrektywy. Uzyskanie certyfikatu programu „Safe Harbour”; przez uczestniczące w nim podmioty zapewnia, że gwarantują one odpowiedni poziom ochrony danych osobowych, o którym mowa w Dyrektywie 95/46/WE.

Program „Safe Harbour”; został zatwierdzony przez Unię Europejską decyzją Komisji 2000/520/WE z dnia 26 lipca 2000 r. (O.J. L 215, 25.08.2000 s. 0007 – 0047).

Więcej informacji o programie „Safe Harbour”; można znaleźć na stronie:http://www.export.gov/safeharbor.

W celu badania i rozpatrywania skarg na naruszenie zasad ochrony danych osobowych przewidzianych programem „Safe Harbour”; powołany został specjalny Panel składający się z przedstawicieli różnych organów ochrony danych osobowych działających w Unii Europejskiej.

Więcej informacji o Panelu można znaleźć na stronie: http://forum.europa.eu.int/Public/irc/secureida/safeha....

Skargi na naruszenie zasad ochrony danych osobowych określonych w programie „Safe Harbour”; można składać na odpowiednim formularzu: http://europa.eu.int/comm/justice_home/fsj/privacy/doc...

Czy macie z tym tematem jakieś doświadczenia?

Temat: Safe Harbor / Bezpieczny Port w praktyce

W tym momencie właśnie przygotowuję dokumentacje GIODO oraz PBI i właśnie zastanawiam się jak w PBI opisać np. zabezpieczenia jeśli nasze dane leżą na serwerach Amazon, który należy do Safe Harbor. Czy ktoś już się z tym zmagał? Chodzi mi w szczególności o:

1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; - czy to jest konieczne jeśli nasz system jest w sieci i ogólnodostępny a zabezpieczeniem są hasła dostępu?

2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; - czy jeśli mamy własne oprogramowanie które te dane przetwarza mamy jakoś je opisać, czy tylko wymienić z nazwy?

4) sposób przepływu danych pomiędzy poszczególnymi systemami; - jeśli nie ma żadnego przepływu?

5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. - Chodzi mi tu o środki techniczne, które tu w całości są po stronie AWS

Z góry przepraszam, jeśli nie do końca wstrzeliłem się w temat ale temat Safe Harbor jest w Polsce nierozłączny z GIODO a GIODO jest nierozłączne z Polityką Bezpieczeństwa Informacji, nawet jeśli jest to dokument wewnętrzny (niepubliczny)