Michał Faber

Michał Faber ABI/Audytor ODO &
ISO 27001

Temat: Hosting, a ochrona danych osobowych

z innego wątku:
http://www.goldenline.pl/forum/ochrona-danych/1248092/...

> Łukasz Krzysztof P.:
> I dowiedziałem się też, że utrzymywanie bazy danych
> osobowych w ramach usługi hostingowej wyczerpuje znamiona
> instytucji powierzenia home.pl przetwarzania danych jak określono
> w art. 31 ustawy o ochronie danych osobowych.

Jeśli mówimy o hostingu niezarządzanym, czyli takim w ramach
którego hostingodawca nie ma dostępu do danych osobowych, to na
podstawie Ustawy o świadczeniu usług drogą elektroniczną
wykorzystanie takiej usługi nie stanowi powierzania danych
osobowych w przetwarzanie w rozumieniu Art.31 UoODO. Nie trzeba
podpisywać z takim hostingodawcą umowy powierzenia.

Podstawa prawna:
Rozdział 3 UoŚUDO - Wyłączenie odpowiedzialności usługodawcy z
tytułu świadczenia usług drogą elektroniczną - Art.12. -
Art.15.


> Ponieważ na stronie, z którą wkrótce ruszę będę zbierał
> dane osobowe, ale będą one wykorzystywane TYLKO do celów
> realizacji zamówienia, a po wykonaniu usługi będą z systemu
> usuwane...

a czy będą wystawiane faktury?
jeśli tak, to masz obowiązek przechowywać dane klienta przez 5
lat i nie możesz ich usunąć - takie dane trzeba oczywiście
chronić jako dane osobowe oraz księgowe

podstawa prawna:
Ustawa o rachunkowości - Art. 74.

> To czy muszę coś jeszcze zrobić w kwestii ochrony tych
> danych?
> Czy też wystarczy komputer zabezpieczony systemem antywirusowym
> z aktualną bazą wirusów?

Jest cały szereg obowiązków które musisz wypełnić w związku z
przetwarzaniem danych osobowych.

W przypadku serwisu internetowego wynikają one zarówno z Ustawy o
ochronie danych osobowych, jak i z Ustawy o świadczeniu usług
drogą elektroniczną.

Są to m.in.:
1. Przesłanki dopuszczalności przetwarzania (musisz mieć jakąś
podstawę prawną np. zgodę osoby, której dane przetwarzasz)‏
2. Obowiązek informacyjny (kto przetwarza, w jakim celu, czasie
itd.)
3. Zasada celowości (dopuszczalne jest przetwarzanie tylko w
zadeklarowanym celu)
4. Zasada adekwatności (...tylko danych niezbędnych do jego
realizacji)
5. Zasada czasowości (...w zadeklarowanym lub koniecznym czasie)
6. Obowiązki zabezpieczania DO (techniczne, organizacyjne itd)‏
7. Obowiązki przy powierzaniu i udostępnianiu DO
8. Obowiązek rejestracyjny
9. Obowiązki przy przekazywaniu DO do państwa trzeciego
10. Obowiązki związane z prawami osób, których dane dotyczą

Korzystanie z programu antywirusowego to tylko jeden z wielu
obowiązków :)

Zapraszam na szkolenie z praktyki danych osobowych 19. listopada
2009: http://biznes.net/tmt.workshop/index/day2
Link do wypowiedziLink