GoldenLine
Zaloguj się
Michał Pe

Michał Pe początkujący abi

Temat: firma informatyczna - zdalny pulpit

Witam,

firma X posiada oprogramowanie księgowe. X ma zawartą umowę z firmą informatyczną Y, która zajmuje się obsługą serwisową oprogramowania. W przypadku wystąpienia problemów - firma informatyczna uzyskuje dostęp za pomocą funkcji zdalnego pulpitu do komputera pracownika i usuwa/diagnozuje usterkę.

Czy potrzebna jest umowa powierzenia przetwarzania?

A może wystarczy upoważnienie?

Dzięki
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: firma informatyczna - zdalny pulpit

Dane nie są powierzane do przetwarzania... więc raczej umowa powierzenia nie jest konieczna.
Powinno wystarczyć samo upoważnienie.
Chyba :)
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: firma informatyczna - zdalny pulpit

Nie wiemy czy pracownik firmy świadczącej usługę będzie miał dostęp do danych, ale zwykle ma.
Zazwyczaj, w wypadku tego typu usług zalecam zawarcie umowy.

Zwróciłbym uwagę, że ustawa mówi o powierzeniu przetwarzania danych, a nie powierzeniu danych do przetwarzania. Dla mnie to jest istotna różnica. Pracownik procesora może nie mieć dostępu do danych, ale może być w stanie uruchomić oprogramowanie które wykona jakieś operacje na danych, a nawet je usunie…
Link do wypowiedziLink
Michał Pe

Michał Pe początkujący abi

Temat: firma informatyczna - zdalny pulpit

Dziękuje za odpowiedź.

Z umową powierzenia może być o tyle problem, że firma informatyczna niekoniecznie zechce ją zawrzeć. Oprogramowanie jest wykorzystywane i nie ma możliwości skorzystania z usług innych dostawców.

Czy w przypadku kontroli takie upoważnienie byłoby zakwestionowane?

Dodam, że tego typu interwencje informatyczne mają charakter sporadyczny (usterka/problem) i zastanawiam się, czy upoważnienie wydane przez ABI (np. mail przesłany na skrzynkę pocztową firmy informatycznej) dla pracownika firmy informatycznej zajmującego się rozwiązywaniem określonego "przypadku" nie byłoby mniejszym złem.Ten post został edytowany przez Autora dnia 04.09.13 o godzinie 13:16
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: firma informatyczna - zdalny pulpit

Panie Jarosławie: nadal wydaje mi się, że powierzenie w tym wypadku nie musi mieć miejsca.
Równie dobrze można byt było podpisywać powierzenie ze sprzątaczką, ponieważ może ona również DO "usunąć" czy cokolwiek z nimi zrobić.
W mojej PBDO jest zapis, że jakiekolwiek naprawy serwisowe (sprzętu czu też oprogramowania) mogą być wykonywane jedynie w obecności osoby upoważnionej. Podejrzewam, że w powyższym przypadku jest tak samo. W końcu żaden "normalny" przedsiębiorca nie da firmie zewnętrznej dostępu do pulpitu zdalnego i pójdzie sobie "na kawkę".
W opisywanym przypadku "serwis" nie dostaje żadnych danych, nie są przekazywane żadne zbiory ani pojedyńcze dane osobowe - czyli ADO ich nie powierza. ADO jedynie daje upoważnienie ( w postaci umowy serwisowej) na dostęp do bazy danych programu/ów w celu diagnozy/naprawy usterki.
Podstawową kwestią w takich wypadkach jest chyba podpisanie serwisowej umowy z odpowiednimi klauzulami o odpowiedzialności, poufności itp.Ten post został edytowany przez Autora dnia 04.09.13 o godzinie 13:44
Link do wypowiedziLink
Michał Pe

Michał Pe początkujący abi

Temat: firma informatyczna - zdalny pulpit

"W mojej PBDO jest zapis, że jakiekolwiek naprawy serwisowe (sprzętu czu też oprogramowania) mogą być wykonywane jedynie w obecności osoby upoważnionej. Podejrzewam, że w powyższym przypadku jest tak samo. W końcu żaden "normalny" przedsiębiorca nie da firmie zewnętrznej dostępu do pulpitu zdalnego i pójdzie sobie "na kawkę".

Panie Wojciechu,

no u mnie jest tak, że dostęp do programu firma informatyczna uzyskuje zdalnie (VPN i zdalny pulpit do serwera - Firma I, Teamviewer - Firma II).
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: firma informatyczna - zdalny pulpit

Nie przekonują mnie rozwiązania, gdy admin ma obserwować co robi zdalny serwisant. W rzeczywistości, ani nie patrzy, ani nie jest w stanie nadzorować, prac które są wykonywane – w końcu dlatego wykonuje je ktoś zdalnie, że lokalny administrator nie wie jak to zrobić. Tym bardziej, w organizacji, która nie ma własnego administratora. Pracownik nie tylko pójdzie na kawę, ale po prostu zostawi komputer włączony na noc.
Dostępu do sieci lub serwera po VPN też przecież nikt nie będzie na bieżąco monitorował.

Sprawa sprzątaczek była ostatnio poruszana w osobnym wątku, ale różnica jest taka, że sprzątaczka nie ma wykonywać operacji na danych, a serwisant zwykle wręcz przeciwnie.
Całkowicie się zgodzę, że powinny być podpisane odpowiednie umowy zawierające odpowiednie klauzule. Co stoi na przeszkodzie, żeby ta umowa była umową powierzenia?
Link do wypowiedziLink

konto usunięte

Temat: firma informatyczna - zdalny pulpit

Pewnie super firma informatyczna Y (a może i X) nie ma wdrożonej żadnej Polityki Bezpieczeństwa i w ogóle nie wie o czym mowa ;) Miałem ostatnio taką sytuację z jednym z większych polskich producentów oprogramowania i do tego działającym w modelu Saas. Efekt rozmów: zaprzestano współpracy z osobnikiem widzącym konieczność podpisania umowy powierzenia i zawracającym gitarę... czyli norma.
Link do wypowiedziLink
Michał Pe

Michał Pe początkujący abi

Temat: firma informatyczna - zdalny pulpit

"Pewnie super firma informatyczna Y (a może i X) nie ma wdrożonej żadnej Polityki Bezpieczeństwa i w ogóle nie wie o czym mowa ;) Miałem ostatnio taką sytuację z jednym z większych polskich producentów oprogramowania i do tego działającym w modelu Saas. Efekt rozmów: zaprzestano współpracy z osobnikiem widzącym konieczność podpisania umowy powierzenia i zawracającym gitarę... czyli norma. "

No właśnie. Czy w takiej sytuacji upoważnienie nie wydaje się mniejszym złem?Czy też zostałoby zakwestionowane przez GIODO w razie kontroli?
Link do wypowiedziLink

konto usunięte

Temat: firma informatyczna - zdalny pulpit

W opisanej przeze mnie sytuacji w ogóle nie było o czym dyskutować, umowa powierzenia zgodnie z ustawą musiałaby zostać zawarta i upoważnienie nic by nie dało. To że nie została to inny temat...

Nie ma czegoś takiego jak mniejsze zło, albo zgodność z ustawą jest albo nie ma.

Biorąc pod uwagę że wspomniany VPN powoduje przetwarzanie Waszych danych poza Waszą siedzibą - więc nie wiem jak niby wskazalibyście je w Polityce Bezpieczeństwa, ja bym się raczej przychylił w rozpatrywanym przypadku do stanowiska Jarka i żądał podpisania umowy powierzenia. To że ktoś nie stosuje się sam do ustawy nie zwalnia nas z odpowiedzialności. Cóż wyborów partnerów biznesowych też nie należy dokonywać z przypadku.
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: firma informatyczna - zdalny pulpit

Serwisant również nie ma wykonywać operacji na danych osobowych. Serwisant ma usunąć usterkę, która utrudnia bądź uniemożliwia pracę na programie. Do tego dostęp do samej bazy DO nie jest konieczny.
Jeżeli zaś jakaś firma daje innej firmie (serwisowej) dostęp do serwera przez VPN... do tego bez nadzoru ze strony osoby upoważnionej, to ja gratuluję pomysłu. Nic, tylko wynosić dane....
Sposobów nadania tymczasowego dostępu do programu/serwera z programem jest tyle, że łatwo utrzymać nad tym kontrolę. Zwłaszcza, że to nie admin musi patrzeć na to, co serwisant robi. Wystarczy normalny użytkownik systemu, który patrzy, co się dzieje na ekranie monitora.
Poza tym... ileż to razy zdarza się taki przypadek, że trzeba wezwać pomoc serwisu? Raz na miesiąc? Na kwartał? Rok? Jeżeli nawet sam admin nie ma czasu lub mu się nie chce nadzorować pracy serwisu, to takiego admina trzeba w trybie "kop z rozpędu" wywalić za niewywiązywanie się z obowiązków...
Link do wypowiedziLink

konto usunięte

Temat: firma informatyczna - zdalny pulpit

Nie dostęp do DO "nie jest konieczny", tylko "nie zawsze musi być konieczny".
Jakoś wątpię by nie występowały sytuacje: "to zobacz i spróbuj wystawić fakturę". itp.
Wtedy jednak dostęp do bazy uzyska i dane te będzie przetwarzał poza obszarem przetwarzania i na swoim sprzęcie na dodatek, czy ktoś patrzy na monitor w tym czasie czy nie, nie ma tu jak dla mnie żadnego znaczenia.
Link do wypowiedziLink
Wojciech Ciesielski

Wojciech Ciesielski Kierownik działu
Administracji i IT

Temat: firma informatyczna - zdalny pulpit

Może jestem w błędzie i niepotrzebnie się "kłócę", ale nadal uważam, że nie jest to powierzenie.
Dla mnie powierzenie występuje wtedy, gdy procesor otrzymuje zbiór/dostęp do zbioru w celu pracowania na nim. Za taką natomiast pracę uważam (na przykład) wystawianie faktur, obsługa księgowa/kadrowa/marketing itp.
Zdalny serwis oprogramowania nie mieści się w moich ramach powierzania danych osobowych do pracy na nich.
Dla mnie serwis ma usunąć usterkę i na tym zakończyć pracę. ZWŁASZCZA gdy baza DO znajduje się na moim serwerze a nie gdzieś na wynajmowanym hoście czy w chmurze.
Link do wypowiedziLink
Michał Pe

Michał Pe początkujący abi

Temat: firma informatyczna - zdalny pulpit

Ja miałem podobne przeświadczenie.

Co innego, jeśli powierza się dane np. zewnętrznej firmie kadrowo-księgowej.

A serwery są faktycznie nasze.

Oczywiście mogę się mylić i stąd zacząłem ten temat... wszelka konstruktywna krytyka mile widziana ;)Ten post został edytowany przez Autora dnia 05.09.13 o godzinie 09:06
Link do wypowiedziLink
Filip Turyk

Filip Turyk właściciel, Idcon
ochrona danych
osobowych

Temat: firma informatyczna - zdalny pulpit

Proszę zwrócić uwagę na definicję "przetwarzania" (art. 7 ust 2) są to jakiekolwiek operacje wykonywane na danych osobopwych takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostepnianie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Jeśłi serwisant ma usunąć usterkę w programie w którym są przetwarzane dane osobowe - to automatycznie wykonuje na nich pewne operacje. Chociażby tworzy kopię danych na wypadek niepowodzenia operacji (jeśli tego nie robi - to chyba lepiej zmienić serwis :-)), a więc przetwarza dane osobowe. W związku z tym konieczna jest umowa powierzenia. W praktyce widziałem rozwiązania polegające np. na czasowym wydaniu upoważnienia dla serwisanta. Procedura nadania powinna być oczywiście opisana w Polityce Bezpieczeństwa.
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: firma informatyczna - zdalny pulpit

Powtórzę jeszcze to, co pisałem wcześniej. Ustawa mówi o "powierzeniu przetwarzania", a nie o "powierzeniu danych".
Niejednokrotnie procesor w ogóle nie otrzymuje od ado danych, a dopiero zbiera je w jego imieniu. Dlatego błędne będzie stwierdzenie, że nie musimy zawrzeć umowy powierzenia, tylko dlatego, że nie przekazujemy danych "na zewnątrz".
Link do wypowiedziLink
Michał Pe

Michał Pe początkujący abi

Temat: firma informatyczna - zdalny pulpit

"Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych."

Może, a nie musi...

A to fragment komentarza Barty

"Komentowany przepis uległ zmianie w 2004 r. Istniejący dotąd obowiązek legitymowania się upoważnieniem wydanym przez administratora dotyczył jedynie osób, które obsługiwały urządzenia wchodzące w skład systemu informatycznego. W wyniku dokonanej zmiany obowiązkiem objęte zostały wszystkie osoby, które przetwarzają dane, niezależnie od tego, czy przetwarzanie dokonywane jest w sposób tradycyjny, czy w systemie informatycznym. Rozwiązanie to ogranicza możliwość przetwarzania danych jedynie do osób, które posiadają nadane w tym celu przez administratora danych indywidualne upoważnienie. Powinny się nim wykazać nie tylko osoby, które na stałe zajmują się przetwarzaniem danych, pracownicy administratora danych, ale też osoby czasowo wykonujące czynności w tym zakresie, a także - jak się wydaje - osoby dokonujące przeglądów serwisowych sprzętu czy oprogramowania, osoby mające usunąć usterki czy awarie, z tego względu, że mają one dostęp do danych osobowych, a zatem można uznać, iż przetwarzają dane (np. jeżeli mogą zapoznać się z treścią danych)."

Nie bardzo rozumiem, dlaczego w tym przypadku muszę zawrzeć powierzenie, a nie mogę upoważnić.

Czy należy przyjąć: wewnątrz -> upoważnienie, na zewnątrz - > powierzenie?
Link do wypowiedziLink
Filip Turyk

Filip Turyk właściciel, Idcon
ochrona danych
osobowych

Temat: firma informatyczna - zdalny pulpit

Może Pan upoważnić. Różnica polega na tym, że przy dużych podmiotach są różni serwisanci lub też wykonują oni pracę zdalnie tworząc na swoje potrzeby na przykład kopie, które mają na swoich serwerach. Problem w tym, że trudno jest nad tym zapanować - nie wiadomo kto ma dostęp do danych w jakim zakresie - a może nad przypadkiem pracuje dwóch serwisantów? Dlatego lepiej w takim przypadku powierzyć i pzostawić zabezpieczenie serwisowi. Oczywiście nie zwalnia to Pana i tak z odposiwdzialności. Dlatego moim zdaniem jeśli serwis nie chce podpisać powierzenia to dopuszczanie go do własnych zasobów jest ryzykowne. Po prostu nie dba on o bezpieczeństwo danych swoich klientów. Jeśli korzysta Pan z usług np. osoby prowadzącej działalność - powierzenie faktycznie może nie mieć sensu lepiej wydać upoażnienie i wciągnąć tą osobę do ewidencji osób upoważnionych. Tak samo jśli jest wyznaczony jeden serwisant do obsługi Pana firmy. Wybór rozwiązania zależy od tego, które z rozwiązań będzie bezpieczniejsze dla Pana zbiorów.
Link do wypowiedziLink
Michał Pe

Michał Pe początkujący abi

Temat: firma informatyczna - zdalny pulpit

Dziękuje.

Czyli - o ile dobrze zrozumiałem - ustawa nie zabrania tego wprost, ale w pewnych okolicznościach takie działanie może nie zapewnić dostatecznego bezpieczeństwa dla przetwarzanych danych osobowych.
Link do wypowiedziLink
Filip Turyk

Filip Turyk właściciel, Idcon
ochrona danych
osobowych

Temat: firma informatyczna - zdalny pulpit

W mojej opinii należy kierować się przede wszystkim właściwym zabezpieczeniem danych osobowych, adekwatnym do zagrożeń. Oczywiście w granicach określonych w ustawie. Niestety dość powszechny jest pogląd, że właściwe rozwiązania to te, które dobrze wypadną podczas kontroli GIODOTen post został edytowany przez Autora dnia 05.09.13 o godzinie 13:17
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj