Witam

Zwracam się z prośbą do praktyków z zakresu stosowania przepisów ochrony danych
osobowych. Poszukuję sensownego rozwiązania, które pozwoli mi na przestrzeganie
prawa lecz nie przyprawi mnie o ból głowy :)

<<Pierwszy problem>>
W tekście po tytułem "Zadania administratora bezpieczeństwa informacji" na
stronie http://www.giodo.gov.pl czytamy co następuje:
"W przypadku gdy administratora danych osobowych nie jest w stanie zakupić
drogich, profesjonalnych informatycznych narzędzi zabezpieczających dane
osobowe, administrator bezpieczeństwa danych powinien wskazać tańsze często
fizyczne środki zabezpieczające przetwarzane dane, które przy zachowaniu
odpowiedniej organizacji pracy mogą być również wystarczające"

Czy znacie z własnego dosiadczenia takie rozwiązania?
Jak prowadzić niewielką, marketingową bazę danych (ok. 200 rekordów) w
kilkuosobowej firmie mając do dyspozycji dwa pomieszczenia, skoro zgodnie z
ustawą do przetwarzania danych niezbędne jest wydzielenie odrębnego
pomieszczenia, komputera i osoby do ich przetwarzania? (Dobudówka i
powiększanie zatrudnienia nie wchodzi w grę :))
Czytając teksty ustawy i wyjaśnień odnoszę wrażenie, że ochrona danych
osobowych dotyczy wyłącznie komputerowych baz danych. Czy przetrzymywanie bazy
danych w segretarze w sejfie będzie zabepieczeniem zgodnym z ustawą?

<<Drugi problem>>
Załóżmy, że prowadzę witrynę internetową, na której zbieram dane osobowe. Sa
one przechowywane w relacyjnej bazie danych na komputerze firmy hostingowej -
udostępniającej wirtualne serwery. Jak ma się ustawa do takiej sytuacji? Sam
osobiście nie mam fizycznego dostepu do komputera i nie wiem w jakich
pomieszczeniach jest przechowywany a tym bardziej czy firma ta posiada wdrożone
procedury przetwarzania danych osobowych.

Dzięki za pomoc.


--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry

Użytkownik "Kondor" <k...@p...onet.pl> napisał w wiadomości
news:55ef.000001b9.401e5827@newsgate.onet.pl...
> Witam
>
> Zwracam się z prośbą do praktyków z zakresu stosowania przepisów ochrony
danych
> osobowych. Poszukuję sensownego rozwiązania, które pozwoli mi na
przestrzeganie
> prawa lecz nie przyprawi mnie o ból głowy :)
>
> <<Pierwszy problem>>
> W tekście po tytułem "Zadania administratora bezpieczeństwa informacji"
na
> stronie http://www.giodo.gov.pl czytamy co następuje:
> "W przypadku gdy administratora danych osobowych nie jest w stanie
zakupić
> drogich, profesjonalnych informatycznych narzędzi zabezpieczających dane
> osobowe, administrator bezpieczeństwa danych powinien wskazać tańsze
często
> fizyczne środki zabezpieczające przetwarzane dane, które przy zachowaniu
> odpowiedniej organizacji pracy mogą być również wystarczające"
>
> Czy znacie z własnego dosiadczenia takie rozwiązania?
> Jak prowadzić niewielką, marketingową bazę danych (ok. 200 rekordów) w
> kilkuosobowej firmie mając do dyspozycji dwa pomieszczenia, skoro
zgodnie z
> ustawą do przetwarzania danych niezbędne jest wydzielenie odrębnego
> pomieszczenia, komputera i osoby do ich przetwarzania? (Dobudówka i
> powiększanie zatrudnienia nie wchodzi w grę :))
> Czytając teksty ustawy i wyjaśnień odnoszę wrażenie, że ochrona danych
> osobowych dotyczy wyłącznie komputerowych baz danych. Czy
przetrzymywanie bazy
> danych w segretarze w sejfie będzie zabepieczeniem zgodnym z ustawą?
>
Bazę danych możesz umieścić na dyskietce, płycie CD-RW czy też innym
przenośnym nośniku i po wykorzystaniu chować de sejfu. To właśnie owe
fizyczne zabezpieczenie.

> <<Drugi problem>>
> Załóżmy, że prowadzę witrynę internetową, na której zbieram dane
osobowe. Sa
> one przechowywane w relacyjnej bazie danych na komputerze firmy
hostingowej -
> udostępniającej wirtualne serwery. Jak ma się ustawa do takiej sytuacji?
Sam
> osobiście nie mam fizycznego dostepu do komputera i nie wiem w jakich
> pomieszczeniach jest przechowywany a tym bardziej czy firma ta posiada
wdrożone
> procedury przetwarzania danych osobowych.

Boję się, że niestety tak przechowywać tych danych nie możesz. Ewentualnie
w postaci szyfrowanej, ale również nie mam pewności.

do góry

> <<Drugi problem>>
> Załóżmy, że prowadzę witrynę internetową, na której zbieram dane osobowe.
Sa

administrator danych osobowych może zlecić wykonywanie obowiązków związanych
z zabezpieczeniem danych innym osobom - możesz zawrzeć umowę z firmą
hostingową o zabezpieczeniu danych pozyskiwanych przez Twoją firmę (sprawdź
w umowie, którą już zawarłeś lub jakimś regulaminie świadczenia usług przez
firmę hostingową, czy nie ma zapisów o tym)

pozdr
Błażej Kucz

do góry

"BLAZEJ KUCZ" <q...@n...pl> wrote in message
news:bvmfbl$o9v$1@atlantis.news.tpi.pl...
> > <<Drugi problem>>
> > Załóżmy, że prowadzę witrynę internetową, na której zbieram dane
osobowe.
> Sa
>
> administrator danych osobowych może zlecić wykonywanie obowiązków
związanych
> z zabezpieczeniem danych innym osobom - możesz zawrzeć umowę z firmą
> hostingową o zabezpieczeniu danych pozyskiwanych przez Twoją firmę
(sprawdź
> w umowie, którą już zawarłeś lub jakimś regulaminie świadczenia usług
przez
> firmę hostingową, czy nie ma zapisów o tym)

Niemniej firma hostingowa powinna spelniac wymagania co do zabezpieczen
pomieszczen,
w ktorych znajduja sie urzadzenia przetwarzajace dane !!!
Wiele zarejestrowalem juz w GIODO baz danych dla firm internetowych, ktore
nawet maja
hosting w USA. Zasadniczo wszystko opiera sie na oswiadczeniach podmiotu
zglaszajacego
wniosek o rejestracje - lecz GIODO zawsze moze wpasc z kontrola - a co
bedzie z kontrola
serwerow w USA , to nie mam pojecia - GIODO tez nie ma pojecia, bo
proobowalismy to ustalic !!!

W kazdym razie rejestracja baz danych w GIODO, w sytuacji firmy, ktora
hostuje sie u calkiem
innego podmiotu wymaga wykazania, ze ta firma hostingowa daje nalezyta
gwarancje bezpieczenstwa
danych - czyli ze ma odpowiednio zabezpieczone pomieszczenia, systemy
podtrzymywania zasilania,
dostep do kompow jest strzezony i mozliwy tylko w sposob opisany w ustawie
(a wiec wposzczane sa do tego pomieszczenia tylko osoby uprawnione, a dostep
do serwera tylko po podaniu loginu i hasla itp). Na to wszystko trzeba
przedlozyc regulaminy obowiazujace w takiej serwerowni - wiele podmiotow
wogoole nie wie o co chodzi , jak sie ich o to pyta - tacy odpadaja -
natomiast sa podmioty, ktore zdaja sobie z tego sprawe i juz spelniaja te
warunki - one daja cala swoja makulature regulaminowa w tym zakresie, jakies
oswiadczenie, ze zobowiazuja sie strzec - i dla GIODO to wystarcza -
niemniej pozostaje kwestia odpowiedzialnosci w sytuacjach, gdyby jednak do
naruszenia danych dochodzilo - ale to juz inna sprawa !

Jakby byly jakies kwestie, to zapraszam na priva !

Pozdro

ms


>
> pozdr
> Błażej Kucz
>
>

do góry

Dziękuje Wam za pomoc.

Jak się okazuje opisywany problem dotyczy większej grupy małych firm. Wszystkim
zainteresowanym tą problematyką polecam artykuł, który właśnie znalazłem:

"Mała firma - duży problem,
czyli słów kilka o przetwarzaniu danych osobowych w systemach informatycznych"

http://www.vagla.pl/skrypts/przetwarzanie_danych_sys
tem_informatyczny.htm

Bardzo ciekawy i pouczający wykład na temat tego jak Ochrona Danych Osobowych
działa w praktyce i jak radzą (nie radzą) sobie z nią małe firmy. Również kilka
ciekawych wypowiedzi GIODO.



--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl

do góry