Temat: Kontrola Głównego Inspektoratu Ochrony Danych Osobowych

Witam serdecznie,

dzwoniła do mnie Pani z GIODO i zapowiedziała kontrole w portalu należącym do naszej firmy. Powiedziała, że należy przygotować dokumentację.

Czy wiecie może co w tej dokumentacji miałoby się znaleźć? Domyślam się, że kwestie bezpieczeństwa stosowane na portalu ale co jeszcze?

Czego możemy się w ogóle spodziewać i na co zwrócić uwagę?

Pozdrawiam,
Miłosz Naworski

Temat: Kontrola Głównego Inspektoratu Ochrony Danych Osobowych

Na eGIODO są poświęcone temu (pośrednio) wszystkie "ABC".

Na "dzieńdobry" przygotujcie dostęp do poliyki bezpieczeństwa, instrukcji zarządzania systemem informatycznym, procedury użytkowania systemu informatycznego, postępowania w przypadku stwierdzenia naruszenia ochrony danych osobowych.

Możecie mieć także prośbę o dostęp do dokumentacji systemu informatycznego celem potwierdzenia stosowania procedur z instrukcji zarządzania systemem informatycznym.

No i oczywiście stosowną dokumnentację przetwarzanych baz danych i potwierdzenie ich rejestracji w GIODO, o ile tego wymagają :).Marcin MaW W. edytował(a) ten post dnia 27.08.09 o godzinie 15:15

Temat: Kontrola Głównego Inspektoratu Ochrony Danych Osobowych

A tak z ciekawości jak to jest gdy używamy serwerów, które ulokowane są w USA?

Temat: Kontrola Głównego Inspektoratu Ochrony Danych Osobowych

Art. 3.
1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego
oraz do państwowych i komunalnych jednostek organizacyjnych.
2. Ustawę stosuje się również do:
1) podmiotów niepublicznych realizujących zadania publiczne,
2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących
osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z
działalnością zarobkową, zawodową lub dla realizacji celów statutowych
- które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej
Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu
środków technicznych znajdujących się na terytorium Rzeczypospolitej
Polskiej.

Link do wypowiedzi

Temat: Kontrola Głównego Inspektoratu Ochrony Danych Osobowych

"o ile przetwarzają dane osobowe przy wykorzystaniu
środków technicznych znajdujących się na terytorium Rzeczypospolitej
Polskiej."

To znaczy, że serwera w USA nie można używać do przetwarzania danych, czy jego już ta ustawa nie dotyczy? Próbowałem zasięgnąć zdania w GIODO ale Pani za bardzo nie umiała mi powiedzieć co się dzieje w przypadku hostingu w USA.

Temat: Kontrola Głównego Inspektoratu Ochrony Danych Osobowych

a gdzie jest właściwe oprogramowanie ? na stacjach roboczych ? jak tak, to w Polsce. Jak nie, to:

Rozdział 7
Przekazywanie danych osobowych do państwa trzeciego
Art. 47.
1. Przekazanie danych osobowych do państwa trzeciego może nastąpić, jeżeli państwo
docelowe daje gwarancje ochrony danych osobowych na swoim terytorium
przynajmniej takie, jakie obowiązują na terytorium Rzeczypospolitej Polskiej.
2. Przepisu ust. 1 nie stosuje się, gdy przesłanie danych osobowych wynika z obowiązku
nałożonego na administratora danych przepisami prawa lub postanowieniami
ratyfikowanej umowy międzynarodowej.
3. Administrator danych może jednak przekazać dane osobowe do państwa trzeciego,
jeżeli:

>

1) osoba, której dane dotyczą, udzieliła na to zgody na piśmie,
2) przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem
danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie,
3) przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby,
której dane dotyczą, pomiędzy administratorem danych a innym podmiotem,
4) przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania
zasadności roszczeń prawnych,
5) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której
dane dotyczą,
6) dane są ogólnie dostępne.
Art. 48.
W przypadkach innych niż wymienione w art. 47 ust. 2 i 3 przekazanie danych osobowych
do państwa trzeciego, które nie daje gwarancji ochrony danych osobowych
przynajmniej takich, jakie obowiązują na terytorium Rzeczypospolitej Polskiej, może
nastąpić po uzyskaniu zgody Generalnego Inspektora, pod warunkiem że administrator
danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności
oraz praw i wolności osoby, której dane dotyczą.Marcin MaW W. edytował(a) ten post dnia 28.08.09 o godzinie 13:40

Temat: Kontrola Głównego Inspektoratu Ochrony Danych Osobowych

Osobiscie, bardzo sie ciesze z tej kontroli i mam nadzieje, ze takich kontroli prowadzonych przez GIODO w innowacyjnych agencjach interaktywnych, bedzie coraz wiecej. A to spowoduje, ze szefowie takich agencji zaczna zwracac uwage na tak maly problem, jakim jest bezpieczenstwo danych osobowych uzytkowanikow portali.
Na tym zakoncze zlosliwosci i z pokora poczekam na opiernicz od Jarka, za trollowanie.

A wracajac do tematu kontroli. Jako pracodawca, przetwarzasz dane osobowe pracownikow i chocby z tego powodu jestes zobowiazany do stosowania sie przepisow ochrony danych osobowych.

Nastepna sprawa - przetwarzanie danych osobowych odbywa sie na terenie RP, poniewaz programisci i bazodanowcy siedza w biurze na terytorium RP. Przetwarzanie to nie tylko przerzucanie danych w bazach, ale takze ogladanie, analizowanie... To, ze dane przetwarzane sa na serwerach stojacych na terenie USA moze spowodowac totalne komplikacje poprzez zastosowanie art. 48 i w zadnym wypadku nie zwalnia z obowiazku zastosowanie uodo, a jezeli kontroler uzna, ze przetwarzanie tych danych jest zgodne z art. 47 pkt. 3 ust. 3, to i tak nalezy wykazac, ze przetwaranie te jest zabezpieczone (ADO dolozyl staran w celu zabezpieczenia). Jezeli Twoi pracownicy (bazodanowcy, programisci), to podmioty zewnetrzne (dzialalnosc gospodarcza), to dodatkowo powinienes zarzec z nimi umowe na powierzenie przetwarzania danych.

Innym slowem, siedzisz po uszy w wodzie. Co mozesz zrobic:
- na gwalt znalezc dobrego ABI, ktory przynajmniej zacznie wyciagac firme z bagna i udowodni, ze ADO stara sie zabezpieczyc dane. Zrobi audyt, przeszkoli pracownikow i przynajmniej zacznie produkowac papierologie.
- liczyc na laskawosc kontrolera, ktory nie nalozy kary finansowej albo karnej i tylko sporzadzi protokol brakow.

Swoja droga moge pogratulowac Ci wspolpracownikow/konkurentow, bo jedyne kontrole z jakimi sie spotkalem byly na podstawie skargi/zazalenia/donosu.

Przy okazji:
GIODO - GENERALNY Inspektor Ochrony Danych Osobowych.

Temat: Kontrola Głównego Inspektoratu Ochrony Danych Osobowych

Nomad, dziękuję za odpowiedź!

Co do naszej firmy to jesteśmy bardzo mali, a nasze portale mają naprawdę małe bazy (klika set osób). Dodatkowo nie posiadamy pracowników.

Z tego względu, że jesteśmy firmą z niewielkim kapitałem, stawiającą swoje pierwsze kroki, na pewno jeszcze dużo musimy się nauczyć, czasem jak widać na błędach, bo niewiedzą nie można się tłumaczyć!

Kontrolowany portal jest dobrze zabezpieczony, posiadamy papierologie dot. bezpieczenstwa, przepływu danych oraz formalności związanych z bezpieczeństwem. Jedna sprawa to nie wiem jak mogę udowodnić, że host w USA jest dobrze zabezpieczony, a druga baza nie jest zarejestrowana w GIODO, ze względu, że uznaliśmy, iż przechowywane dane nie są danymi osobowymi, dzięki którym można szybko i niskim kosztem zidentyfikować osobę!

W każdym razie, przyznam się, że do tej pory mieliśmy małe pojęcie o ABI i postaram się tu po kontroli napisać na co warto zwrócić uwagę, bo podejrzewam, że jeszcze niejeden będzie miał kontrolę w firmie o podobnym profilu!

Pozdrawiam,
Miłosz

Temat: Kontrola Głównego Inspektoratu Ochrony Danych Osobowych

Miłosz - sprawdz skrzynke na o2.

Rafal

Temat: Kontrola Głównego Inspektoratu Ochrony Danych Osobowych

Marcin MaW W.:
Na eGIODO są poświęcone temu (pośrednio) wszystkie "ABC".

Na "dzieńdobry" przygotujcie dostęp do poliyki bezpieczeństwa, instrukcji zarządzania systemem informatycznym, procedury użytkowania systemu informatycznego, postępowania w przypadku stwierdzenia naruszenia ochrony danych osobowych.

Ja do listy dokumentacji dodałbym jeszcze upoważnienia dla pracowników do przetwarzania danych osobowych podpisane przez ADO

Temat: Kontrola Głównego Inspektoratu Ochrony Danych Osobowych

Rafał "NOMAD" S.:
Osobiscie, bardzo sie ciesze z tej kontroli i mam nadzieje, ze takich kontroli prowadzonych przez GIODO w innowacyjnych agencjach interaktywnych, bedzie coraz wiecej. A to spowoduje, ze szefowie takich agencji zaczna zwracac uwage na tak maly problem, jakim jest bezpieczenstwo danych osobowych uzytkowanikow portali.

Rafale dołączam się do Twojej opinii, jestem też ciekaw rozstrzygnięcia kontroli i czekam na nie z niecerpliwością.

Temat: Kontrola Głównego Inspektoratu Ochrony Danych Osobowych

A ja gwarantuję, że pierwsze co kontrolerzy GIODO sprawdzą - zwłaszcza w firmie bazującej na rozwiązaniach informatycznych - to sam system informatyczny, począwszy od hasełek (bądź innych technologii służących do uwierzytelniania w systemie informatycznym) a skończywszy na wymogach z paragrafu 7 rozporządzenia (wiadomo którego) do ustawy.

Na bank wśród kontrolerów będzie informatyk, który się tym zajmie (no chyba że GIODO słabo odrobi "pracę domową"). Więc poza wymaganą papierologią, która jest oczywiście niezbędna zachęcam do sprawdzenia faktycznych, praktycznych możliwości systemu informatycznego, który wykorzystujecie.
Poza tym to co praktycznie zawsze kuleje i co jest natychmiast wyłapywane to realizacja art. 24 i 25 ustawy - czyli realizacja tzw. obowiązku informacyjnego.

A tak już zupełnie na marginesie - to że akurat do Waszej firmy zadzwoniła Pani z GIODO pozwala sądzić że:
1) albo macie dużego pecha i macie kontrolę z urzędu (na chybił trafił)
2) albo zawaliliście coś przy wspomnianych wnioskach rejestracyjnych i GIODO postanowił to sprawdzić - tez postępowanie z urzędu
3) albo jakiś Wasz klient uznał że jego dobra osobiste w postaci danych osobowych zostały przez Was naruszone i napisał skargę do GIODO - i coś mi się wydaje że to trzecie rozwiązanie jest najbardziej prawdopodobne (tak więc nie ma co liczyć że ma się małą bazę klientów - to jest całkowicie irrelewantne z punktu widzenia tychże klientów).

pozdrawiam i powodzenia
Jakub

Temat: Kontrola Głównego Inspektoratu Ochrony Danych Osobowych

Czy ktoś z magiczną mocą poprawiania tematów mógłby to zrobić? Strasznie mnie w oczy kole ten główny inspektorat ;)

Temat: Kontrola Głównego Inspektoratu Ochrony Danych Osobowych

Wojciech Kogut:
Czy ktoś z magiczną mocą poprawiania tematów mógłby to zrobić? Strasznie mnie w oczy kole ten główny inspektorat ;)

GENERALNY :D

http://www.giodo.gov.pl/

Pozdrawiam,

o.

Temat: Kontrola Głównego Inspektoratu Ochrony Danych Osobowych

Na bank wśród kontrolerów będzie informatyk, który się tym zajmie (no chyba że GIODO słabo odrobi "pracę domową"). Więc poza wymaganą papierologią, która jest oczywiście niezbędna zachęcam do sprawdzenia faktycznych, praktycznych możliwości systemu informatycznego, który wykorzystujecie.

Potwierdzam, informatyk będzie na bank (przecież znacząca większość zbiorów danych osobowych jest przetwarzana w systemach informatycznych) i nie liczyłbym na nieodrabianie "pracy domowej" przez GIODO. Takie kontrole to rutyna, wiec kontrolerzy dobrze wiedzą czego i gdzie szukać. ... i znajdują ;-)

Z praktyki wiem, że poza sprawdzeniem "hasełek", sprawdzona zostanie obecność programu antywirusowego i aktualność bazy wirusów, a pewnie także i aktualność systemów operacyjnych na poszczególnych stacjach roboczych (zwłaszcza jeżeli są one podłączone do internetu). Nie umknie raczej też sprawa fizycznych zabezpieczeń pomieszczeń (w tym serwerowni), w których przetwarza się dane osobowe - upoważnienia i kontrola dostępu, itp.

Temat: Kontrola Głównego Inspektoratu Ochrony Danych Osobowych

Witam,
To ja dołożę jeszcze swoje 3 grosze.
Jeśli przetwarzanie odbywa się w stanach (hosting jest przetwarzaniem) to zwróciłbym uwagę na to czy dostawca hostingu jest członkiem programu „bezpieczna przystań” („safe harbour”).
Jeśli organizacja spełnia wymagania „bezpiecznej przystani”
Polecam komentarz na stronach GIODO „Zasady przekazywania danych osobowych do państw trzecich” (http://www.giodo.gov.pl/163/id_art/1519/j/pl/).
Oraz Decyzję Komisji z dnia 26 lipca 2000 r. w sprawie adekwatności ochrony przewidzianej przez zasady ochrony prywatności w ramach "bezpiecznej przystani" (http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=... )
I jeszcze w temacie hostingu, za „ABC-zasad-bezpieczenstwa-przetwarzania-danych-osobowych-przy-uzyciu-systemow”

"Czy firma zajmująca się hostingiem stron internetowych (czyli dzierżawą miejsca na serwerze i świadczeniem usług dostępu do tych serwisów z Internetu) staje się podmiotem przetwarzającym dane w sytuacji, gdy hostowany serwis posiada w swej strukturze dane osobowe i mechanizmy je obsługujące?
Zgodnie z art. 31 ust. 1 ustawy powierzenie przetwarzania danych osobowych musi być dokonane w formie umowy, która określi m.in. jego zakres oraz zadania i obowiązki podmiotu, któremu przetwarzanie zostaje powierzone. Nie każda zatem umowa hostingu stron internetowych może być uznana za umowę powierzenia przetwarzania danych osobowych. Z sytuacją powierzenia przetwarzania danych osobowych będziemy mieli do czynienie tylko wtedy, gdy zawarta umowa spełniać będzie wymagania określone w art. 31 ustawy. Oznacza to, że musi być ona sporządzona w formie pisemnej i wskazywać cel oraz zakres przetwarzania. Jeżeli usługa hostingu sprowadza się wyłącznie do dzierżawy miejsca na serwerze, to w zakresie przetwarzania danych powinien się znaleźć co najmniej obowiązek odpowiedniego zabezpieczenia przetwarzanych danych przed nieupoważnionymi zmianami lub zniszczeniem. Ponadto, jeżeli powierzający przetwarzanie nie wykonuje kopii zapasowej przetwarzanego zbioru danych u siebie, to obowiązek ten musi być wykonywany przez podmiot hostujący, co również powinno być zawarte w umowie. Jeżeli podmiot udostępniający system (serwer) nie posiada wiedzy co do rodzaju danych przetwarzanych w tym systemie i nie powierzono mu danych w myśl art. 31 ustawy, to podlega on postanowieniom art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przetwarzane dane jest ograniczona zgodnie z art. 12–15 tej ustawy."

Reasumując, „bezpieczna przystań” powinna zwolnić firmę z obowiązku wystąpienia do -GIODO DIODO zgodę na przetwarzanie danych w USA, ale nie zwalania od zawarcia umowy na hosting.
Pozdr.
AdamAdam Danieluk edytował(a) ten post dnia 06.09.09 o godzinie 08:05