GoldenLine
Zaloguj się
Aleksandra Kocoń

Aleksandra Kocoń asystent

Temat: Rejestracja GIODO, a hosting

Witam,

Temat dotyczy zabezpieczeń, które należy wskazać w części E wniosku. Co w sytuacji gdy firma zawarła umowę powierzenia z hostingodawcą? Wówczas należy wskazać te zabezpieczenia, które stosowane są w firmie hostingowej?

Z góry dziękuję za odpowiedź.
Link do wypowiedziLink
Ewa Cedro

Ewa Cedro Inspektor Ochrony
Danych

Temat: Rejestracja GIODO, a hosting

W części E wniosku rejestracyjnego opisuje się zabezpieczenia, które funkcjonują u administratora danych (zabezpieczenia funkcjonujące u hostingodawcy oraz innych podmiotów, którym powierzono przetwarzanie danych osobowych w formularzu zgłoszenia zbioru danych do GIODO nie wpisujemy).
pozdrawiam
Link do wypowiedziLink
Urszula S.

Urszula S. Administrator
Bezpieczeństwa
Informacji

Temat: Rejestracja GIODO, a hosting

A wg mnie wpisujemy realne zabezpieczenia, które są zastosowane do tego konkretnego zbioru, czyli zarówno ADO jak i procesora, dlatego że część E wniosku o rejestrację zbioru to opis środków technicznych i organizacyjnych zastosowanych w celu zabezpieczenia danych osobowych w tym zgłaszanym zbiorze, a nie ogólnie u ADO.
Przykładowo, jeśli ADO ma zabezpieczenia na poziomie podstawowym, bo np. przetwarza dane tylko w postaci papierowej, a zleca przetwarzanie danych w formie elektronicznej innemu podmiotowi, to może zapewnić sobie odpowiednie zabezpieczenia danych w umowie powierzenia, ale "u siebie" ich nie stosować. Jeśli we wniosku wpisałby podstawowy poziom zabezpieczeń, w przypadku przetwarzania danych z użyciem systemu informatycznego, to taki wniosek zostałby zwrócony, nawet z decyzją nakazującą wstrzymanie przetwarzania.
Link do wypowiedziLink
Ewa Cedro

Ewa Cedro Inspektor Ochrony
Danych

Temat: Rejestracja GIODO, a hosting

Nie ma potrzeby wpisywania zabezpieczeń hostingodawcy m.in. dlatego, że zabezpieczenia te mogą stanowić np. tajemnicę tego przedsiębiorcy.
Nawiązując do mojego twierdzenia, że w części E wniosku wpisuje się tylko zabezpieczenia występujące u administratora danych, chciałam zaznaczyć, że takie rozwiązanie stosują pracownicy Giodo dokonujący rejestracji - przeszłam to w praktyce :)
Podpowiadając osobom, które wypełniając wniosek on-line mogę dodać, że nie ma potrzeby odpowiadać na pytania z "rozwijanej listy" części E. Niezbędne informacje, które muszą się tam znaleźć to oświadczenie, że administrator danych posiada upoważnienia, ewidencję, politykę i instrukcję oraz wyznaczonego ABI (bądź jego brak). Pozostała "rozwijana lista" zawierająca szczegółowe opisy zabezpieczeń jest niewymaganym dodatkiem.
Link do wypowiedziLink
Urszula S.

Urszula S. Administrator
Bezpieczeństwa
Informacji

Temat: Rejestracja GIODO, a hosting

Ewa C.:
Nie ma potrzeby wpisywania zabezpieczeń hostingodawcy m.in. dlatego, że zabezpieczenia te mogą stanowić np. tajemnicę tego przedsiębiorcy.

Tajemnicą przedsiębiorcy jest również sam fakt zawarcia umowy o przetwarzanie danych, a jednak we wniosku podajemy dane procesora. Poza tym wniosek w części E nie jest publicznie dostępny, dane dotyczące zabezpieczeń podaje się tylko do wiadomości GIODO, co ma ułatwić tzw. wstępną kontrolę przetwarzania danych. GIODO ma prawo kontrolować przecież zarówno ADO jak i procesora.
Nawiązując do mojego twierdzenia, że w części E wniosku wpisuje się tylko zabezpieczenia występujące u administratora danych, chciałam zaznaczyć, że takie rozwiązanie stosują pracownicy Giodo dokonujący rejestracji - przeszłam to w praktyce :)
Podpowiadając osobom, które wypełniając wniosek on-line mogę dodać, że nie ma potrzeby odpowiadać na pytania z "rozwijanej listy" części E. Niezbędne informacje, które muszą się tam znaleźć to oświadczenie, że administrator danych posiada upoważnienia, ewidencję, politykę i instrukcję oraz wyznaczonego ABI (bądź jego brak). Pozostała "rozwijana lista" zawierająca szczegółowe opisy zabezpieczeń jest niewymaganym dodatkiem.

Co pracownik GIODO to inne zdanie, aczkolwiek jeśli zabezpieczenia wpisane we wniosku będą adekwatne do sposobu przetwarzania i poziomu wymaganego rozporządzeniem, to powinni zarejestrowac zbiór.
Oczywiście, jeśli ograniczymy się tylko do pól obowiązkowych wniosku, to zgodnie z wzorem wniosku z rozporządzenia nie musimy wypełniać pola 16 f ) - inne środki oprócz wymienionych. Jeśli chodzi o punkty 16 od a) do e) , tam wpisujemy obowiązkowe zabezpieczenia ADO, czyli posiadanie polityki bezp. ewidencji itd.
W przypadku gdy zaznaczamy/wpisujemy szczegółowe metody i środki zabezpieczeń (czyli punkt 16f), chociażby z rozwijanej listy we e-wniosku na stronie GIODO, to jednak logicznym byłoby wpisanie realnych zabezpieczeń stosowanych w przypadku rejestrowanego zbioru. We wniosku wpisujemy tylko sposoby zabezpieczeń, a nie konkretne rozwiązania, które ujawniałyby zbyt szczegółowo zabezpieczenia stosowane przez ADO czy procesora.
Link do wypowiedziLink
Ewa Cedro

Ewa Cedro Inspektor Ochrony
Danych

Temat: Rejestracja GIODO, a hosting

Czasem administrator danych powierza przetwarzanie danych zawartych w jednym zbiorze kilku podmiotom więc logicznym rozwiązaniem jest wpisywanie w części E zabezpieczeń funkcjonujących tylko u administratora danych, gdyż tam fizycznie nie ma miejsca na opisanie zabezpieczeń zastosowanych u innych podmiotów.

Giodo nie przeprowadza wstępnej kontroli przetwarzania danych analizując zapisy rozwijanej listy części E formularza. 40 tys zgłoszeń rocznie nie pozwala im na to ;)
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj