Temat: GIODO i polityka bezpieczeństwa.

Dzień dobry,

Moje pytania dotyczą tworzenia polityki bezpieczeństwa i powiązanego z tym tematem wypełniania zgłoszenia nowopowstałej bazy danych i przetwarzania danych osobowych.

Zgodnie z wytycznymi w zakresie opracowania i wdrożenia polityki bezpieczeństwa, udostępnionymi na stronie GIODO, należy stworzyć wykaz budynków i pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe. Baza danych została utworzona w aplikacji działającej w chmurze. Nie łatwo będzie mi sprawdzić, gdzie i na jakich serwerach znajdują się moje pliki.
I teraz kwestia do samego zgłoszenia punkt 16 f). W wersji elektronicznej zgłoszenia udostępnione są opcje do zaznaczenia, których nie jestem w stanie dociec. Np. w zakresie środków ochrony fizyczne danych - Zbiór danych osobowych przechowywane jest w pomieszczeniu zabezpieczonym drzwiami o podwyższonej odporności ogniowej >=30 min. Zbiór przechowywany jest gdzieś na amerykańskich serwerach.

W końcu pytanie dotyczące dwóch kwestii.
Czy dla urzędu wystarczające będzie podanie danych rejestrowych firmy, która jest dostawcą danej aplikacji oraz informacja o certyfikacji TRUSTe i U.S. E.U. Safe Harbor?

Z pozdrowieniami,
Przemysław Nowakowski

Temat: GIODO i polityka bezpieczeństwa.

Panie Przemku, zapytałabym tu: http://www.goldenline.pl/grupy/Pozostale/abi/

Temat: GIODO i polityka bezpieczeństwa.

Dziękuję pięknie za link.

Pozdrawiam

Temat: GIODO i polityka bezpieczeństwa.

Odpowiadając na Pana pytania:
1. W przypadku wykazu budynków i pomieszczeń przetwarzania danych osobowych przyjmuje się budynki i pomieszczenia administratora danych, a nie firmy hostingowej czy innego podmiotu, z którego usług korzysta administrator danych. Proszę wskazać wykaz budynków i pomieszczeń Państwa biura, w którym na co dzień te dane Państwo przetwarzają.
2. Podobnie jak w przypadku pomieszczeń, pytania z pkt 6 f) dotyczą pomieszczeń i systemów informatycznych, z których korzysta administrator danych, a więc w tym kontekście proszę wypełnić tę ankietę.
3. Zgodnie z pkt 13 wniosku można podać nazwę i adres firmy, której administrator danych będzie przekazywał dane osobowe, a następnie w pkt 14 proszę podać nazwę państwa, do którego dane będą przekazywane. Jeśli są to USA, a podmiot jest członkiem programu Safe Harbor proponuję to wskazać w pkt 14.