Skocz do zawartości
Zaloguj się, aby obserwować  
marcink

Hosting a przetwarzanie danych osobowych

Polecane posty

Witam wszystkich,

 

mam pytanie dotyczące ochrony danych osobowych przetwarzanych przez serwis umieszczony na serwerze firmy hostingowej (Business Server Pro w home.pl).

 

Uruchamiam właśnie serwis, którego użytkownicy będą mogli wpisać swoje dane -- imię, nazwisko, adres. Chcę, żeby wszystko było zgodne z prawem, więc baza zostanie niedługo zgłoszona do GIODO. Problem polega na tym, że chcę serwis postawić właśnie na koncie wykupionym w home.pl. Formalnie (w opinii prawnika) powinienem przekazać im przetwarzanie danych osobowych w zakresie niezbędnym do utrzymania serwera przy życiu i wykonywania kopii zapasowych. I tu zaczęły się schody.

 

Home zachowuje się jakbym był pierwszym klientem, który spytał o taką umowę. Nie bardzo chce mi się wierzyć, że wszyscy inni bez mrugnięcia okiem biorą na siebie odpowiedzialność za działania ludzi, na których nie mają żadnego wpływu (w regulaminie nie widzę nic na temat ochrony danych znajdujących się na moim koncie).

 

I tu pytanie: czy macie jakieś doświadczenia z rejestrowaniem w GIODO serwisów umieszczanych na kontach hostingowych? A może ktoś z Was jest w stanie podpowiedzieć, jakie firmy podchodzą do tego tematu sensowniej?

 

Pozdrawiam serdecznie,

-mk

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

ja moge powiedziec tylko tyle - serwis jest w zlym dziale. Przenosze do innego :)

 

Wysłany Czw 09 Cze, 2005:

 

Swoja droga nie wiem czy ten dzial jest lepszy. Moim zdaniem bardziej pasuje do tematyki postu, ale.. :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
ja moge powiedziec tylko tyle - serwis jest w zlym dziale. Przenosze do innego :)

 

Wysłany Czw 09 Cze, 2005:

 

Swoja droga nie wiem czy ten dzial jest lepszy. Moim zdaniem bardziej pasuje do tematyki postu, ale.. :)

 

Hmm.. trafiłem tu dopiero dzisiaj, więc mogę jeszcze nie orientować się co gdzie pasuje, ale przed napisaniem pytania przeczytałem opisy forów i wydaje mi się że tu pasuje zdecydowanie mniej. Nie rozpoczynam działalności hostingowej; a pytanie dotyczyło korzystania z hostingu, a nie udostępniania go.

 

Czy są jakieś szanse na powrót do forum ogólnego? :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Musze cie zmartwic - jest spiore prawdopodobienstwo, iz jestes pierwsza firma / osoba, ktora zapytala Home o taka rzecz..

 

Utarlo sie jakos, ze Datacntre, tudziez inna firma udostepniajaca Ci swoja maszyne, zwyczajnie _nie_ odpowiada za zamieszczone na niej dane (w zakresie innym niz regularny backup).. niektore firmy maja takowy zapis w regulaminie.. niektore widac nie..

 

jeszcze nie spotkalem sie z firma w Polsce, ktora sama zainteresowala sie czyms takim jak ochrona prywatnosci danych.. (czyli np. klauzula tajnosci, ograniczony dostep do danych - wylacznie niektorzy administratorzy, ktorzy uprzednio podpisali stosowna umowe/zgode)..

 

sadze wiec, ze _mozesz_ byc pierwszym proszacym o to Home'a .. ale na pewno nie ostatnim..

Osobiscie uwazam, iz nie powinno to byc jakims duzym problemem..

Z czystej ciekawosci - opisz prosze reakcje Home'a na twoje pytania..

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Hi!

 

Dzisiaj otrzymalem odpowiedz od zastepcy Generalnego Inspektora Ochrony Danych Osobowych (GIODO) na moje pytania, dotyczace problemow w firmach oferujacych uslugi hostingowe i dyskusji prowadzonych na lamach tego forum. Ponizej pelny tekst otrzymanej informacji:

 

"... W odpowiedzi na Pana pismo z dnia 1 maja 2005 r. uprzejmie informuję, iż zgodnie z definicją zawartą w art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.), administratorem danych, jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 ustawy, decydujące o celach i środkach przetwarzania danych osobowych. Art. 31 tej ustawy umożliwia administratorowi danych powierzenie przetwarzania danych w drodze umowy zawartej na piśmie. Na mocy tego przepisu administrator danych może powierzyć przetwarzanie danych w systemie informatycznym innemu podmiotowi. Zgodnie z ust. 2 wyżej powołanego artykułu, podmiot, któremu dane powierzono może je przetwarzać wyłącznie w celu i zakresie przewidzianym w umowie. Podkreślić należy, iż podmiot taki obowiązany jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ten ponosi odpowiedzialność jak administrator danych (art. 31 ust. 3 ustawy o ochronie danych osobowych). Wskazać przy tym należy, iż zgodnie z art. 31 ust. 4 ustawy, w przypadkach, o których mowa w ust. 1-3 tego artykułu, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

 

Mając na uwadze powyższe informuję, iż analiza okoliczności faktycznych i prawnych związanych z działalnością podmiotów oferujących usługi hostingowych prowadzi do wniosku, iż podmiot świadczący usługi hostingowe nie staje się administratorem danych przetwarzanych przez niego w ramach umowy hostingu. Informuję, iż w przypadku, gdy administrator danych zawarł z podmiotem świadczącym usługi hostingowe umowę powierzenia przetwarzania danych

w systemie informatycznym podmiot świadczący usługi hostingowe ponosi odpowiedzialność z tytułu naruszenia zasad ochrony danych osobowych w zakresie określonym w umowie oraz w art. 31 ustawy. Wskazać jednoczenie należy, iż w przypadku powierzenia przetwarzania danych innemu podmiotowi odpowiedzialność za przestrzeganie przepisów ustawy o ochronie danych osobowych spoczywa również na administratorze danych, w szczególności nie może on w umowie powierzenia skutecznie wyłączyć swojej odpowiedzialności z tego tytułu. W sytuacji natomiast, gdy administrator danych powierzył przetwarzanie danych w systemie informatycznym innemu podmiotowi nie zawierając przy tym umowy, o której mowa w art. 31 ustawy o ochronie danych osobowych, odpowiedzialność za przestrzeganie przepisów tej ustawy spoczywa na nim. Wskazać jednocześnie należy, iż w przypadku, gdy podmiot świadczący usługi hostingowe nie posiada wiedzy co do charakteru przetwarzanych danych podlega on przepisom art. 12 – 15 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204 ze zm.).

 

Podkreślić przy tym należy, iż to administrator danych, jako podmiot decydujący o celach i środkach przetwarzania danych obowiązany jest zapewnić, aby przetwarzanie danych było zgodne z przepisami o ich ochronie. Do niego należy zatem wybór takiego systemu informatycznego, który spełniałby wymogi określone w powołanej ustawie oraz w aktach wykonawczych do niej. W przypadku, gdy administrator danych zamierza powierzyć przetwarzanie danych w systemie informatycznym innemu podmiotowi powinien wybrać podmiot dysponujący systemem informatycznym zgodnym z wymogami ustawy o ochronie danych osobowych, który zapewni odpowiedni poziom ochrony danych osobowych. Wskazać ponadto należy, iż zawierając umowę z takim podmiotem administrator danych powinien uwzględnić okoliczność, iż powierza mu przetwarzanie danych osobowych i określić w niej cel i zakres przetwarzania danych, a także inne aspekty dotyczące ich ochrony. ..."

 

Proponuje na ten temat poprowadzic powazna dyskusje.

 

Gruss

tomasz.b

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Z czystej ciekawosci - opisz prosze reakcje Home'a na twoje pytania..

 

Konsultanci i BOK uważają, że to ja będę administratorem zbioru (co jest prawdą), a to co oni robią już przetwarzaniem danych nie jest (co w opinii prawników i mojej już prawdą nie jest), więc cała odpowiedzialność jest po mojej stronie. Upierają się, że ich rozwiązania hostingowe spełniają wymagania GIODO i pomagają wypełnić załącznik E do zgłoszenia zbioru danych do GIODO, co ogranicza się do wpisania informacji o "środkach ochrony fizycznej" oraz "środków sprzętowych". Nazwa firmy home nigdzie w tym załączniku się nie pojawia.

 

Mnie to wszystko bardzo dziwi, skończy się na tym że będę musiał wykupić gdzieś kolokację na własny, zamknięty serwer i samemu zająć się administracją :?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Fobi

Co do GIODO to obie strony maja udzial, tak osoba ktora tym zarzadza jak i dostawca (hostingu, kolokacji itd).

 

W praktyce najczesciej wyglada to tak, ze w zalaczniku wpisuje sie podane przez dostawce informacje (jak podales : o srodkach ochrony fizycznej i srodkach sprzetowych) czyli : czy jest alarm (grupa interwencyjna), ochrona przeciwpozarowa, kontrola dostepu, polityka bezpieczenstwa itd. i na tym sie konczy zgloszenie bazy do giodo.

 

Tak to wyglada normalnie i tak to funkcjonuje co nie znaczy, ze jest to w pelni zgodne z prawem. Problemy moga sie pojawic w razie np. wycieku danych.

 

Prawidlowo po stronie dostawcy jest zapewnienie bezpieczenstwa danych, backupow itd. i to wszystko musi byc kontrolowane przez inspektora danych osobowych! Co wiaze sie z kosztami jak i papierkologia (wypelnianiem przez dostawce raportow).

 

Jesli chodzi o hosting to moze byc roznie, wysle maila i przekaze czy wdc moze cos takiego zrobic dla ich hostingu.

 

Pozdrawiam,

Bartek

 

Wysłany Czw 09 Cze, 2005 21:35:

 

Polaczylem dwa tematy, jesli nie wyszlo tak jak byscie chcieli to dajcie znac. Cos wymysle.

 

Temat jest wart przedyskutowania, zaprosilem kogos, kto z giodo ma troche doswiadczenia.

 

Pozdrawiam,

Bartek

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Co do GIODO to obie strony maja udzial, tak osoba ktora tym zarzadza jak i dostawca (hostingu, kolokacji itd).

 

To rozumiem.

 

W praktyce najczesciej wyglada to tak, ze w zalaczniku wpisuje sie podane przez dostawce informacje [...]i na tym sie konczy zgloszenie bazy do giodo.

 

Tego chcę uniknąć. Takie zgłoszenie oznacza, że w przypadku problemów po stronie dostawcy (np. pracownika, który wyniósł dysk lub tasiemkę) problemy będę miał ja. A konsekwencje mogą być dość konkretne -- do 2 lat pozbawienia wolności włącznie.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Tego chcę uniknąć. Takie zgłoszenie oznacza, że w przypadku problemów po stronie dostawcy (np. pracownika, który wyniósł dysk lub tasiemkę) problemy będę miał ja. A konsekwencje mogą być dość konkretne -- do 2 lat pozbawienia wolności włącznie.

 

Hi!

 

Dlatego kazdy uslugodawca powinien szkolic swoich pracownikow. Kazdy pracownik powinien podpisac specjalny dokument wystawiony przez pracodawce, w ktrorym opisane sa jego obowiazki dotyczyce ochrony danych osobowych. Wystarczy zapytac sie uslugodawcy czy takie dokumenty sa dostepne.

 

Podana informacja od GIODO dotyczyla innej dyskusji, a mianowicie czy administrator serwerow jest automatycznie administratorem danych osobowych. Ja reprezentuje zdanie ze jest. Odpowiedz mozna znalezc powyzej.

 

Gruss

tomasz.b

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Tego chcę uniknąć. Takie zgłoszenie oznacza, że w przypadku problemów po stronie dostawcy (np. pracownika, który wyniósł dysk lub tasiemkę) problemy będę miał ja. A konsekwencje mogą być dość konkretne -- do 2 lat pozbawienia wolności włącznie.

Dlatego kazdy uslugodawca powinien szkolic swoich pracownikow. Kazdy pracownik powinien podpisac specjalny dokument wystawiony przez pracodawce, w ktrorym opisane sa jego obowiazki dotyczyce ochrony danych osobowych. Wystarczy zapytac sie uslugodawcy czy takie dokumenty sa dostepne.

 

To już powinna być wewnętrzna sprawa usługodawcy. To ich sprawa w jaki sposób wywiązują się ze swoich zobowiązań. Ja tylko chciałbym w jasny sposób określić te zobowiązania.

 

Podana informacja od GIODO dotyczyla innej dyskusji, a mianowicie czy administrator serwerow jest automatycznie administratorem danych osobowych. Ja reprezentuje zdanie ze jest.

 

A ja, że jednak nie, że firmie hostingowej powinno się tylko zlecić przetwarzanie danych w zakresie niezbędnym do wykonania usługi hostingu. Gdyby to oni byli administratorem, to sytuacja zrobiłaby się nieco dziwna -- ja, jako osoba tworząca serwis, musiałbym dostać od nich zlecenie na przetwarzanie danych osobowych, bo inaczej nie miałbym prawa mieć do nich dostępu :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Panowie nie robmy paranoi

 

Powiedzmy ze porownam sytuacje do wynajmu mieskznia

To czy w takim przypadku wynajmujacy moze odpowiadac za rzeczy pozostawione w mieszkaniu przez wynajmujacego ?

Na pewno nie.

I jestem pewien ze nikt przy standartowym wynajmie mieszkan takie opcji nie wliczy w koszty wynajmu, nie podnoszac ceny

Moi zdaniem takie szczegolne zabezpieczenie wiaze sie z dodatkowymi umowami co na pewno wiaze sie z dodatkowymi kosztami, a zadna z firm wymienionych w top100 nie podejmie sie takiego zlecenia przy standartowych warunkach.

 

Swoja droga ciekawa czy sa jakies specjalistyczne firmy ktore podolaja takim umowom

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Powiedzmy ze porownam sytuacje do wynajmu mieskznia

To czy w takim przypadku wynajmujacy moze odpowiadac za rzeczy pozostawione w mieszkaniu przez wynajmujacego ?

Na pewno nie.

 

Widziałem to porównanie już w paru miejscach. Jest jedna zasadnicza różnica: w przypadku danych osobowych administrator zbioru danych (którego porównujesz do osoby wynajmującej od kogoś mieszkanie) odpowiada karnie za zabezpieczenie zbioru. Tego elementu nie ma w Twojej historyjce.

 

Bardzo mnie dziwi, że najwyraźniej wielu ludzi zgadza się przejąć odpowiedzialność za działania innych (z potencjalnie poważnymi konsekwencjami).

 

Odrobina zdrowej paranoi jeszcze nikomu nie zaszkodziła :-)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Hi!

 

Dyskusja wraca ponownie na ta sama droge.

 

Najwyrazniej w informacji od GIODO mozna znalezc: Informuję, iż w przypadku, gdy administrator danych zawarł z podmiotem świadczącym usługi hostingowe umowę powierzenia przetwarzania danych

w systemie informatycznym podmiot świadczący usługi hostingowe ponosi odpowiedzialność z tytułu naruszenia zasad ochrony danych osobowych w zakresie określonym w umowie oraz w art. 31 ustawy.

 

Dla tych ktorzy nie wiedza zwykle zapisywanie danych osobowych na dysku serwera jest brane jako przetwarzanie danych osobowych:

 

Art 7 ... 2) przetwarzaniu danych - rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych ...

 

Chcac czy nie chcac uslugodawca oferujacy hosting powinien zadbac o ochrone danych osobowych. Chyba ze poda w umowie, ze nie gwarantuje ochrony danych osobowych, automatycznie administrator danych osobowych nie powinien z takiej uslugi korzystac, bo nie dba w ten sposob o swoje obowiazki, uzywajac uslugi, ktore nie gwarantuja ochrony danych osobowych.

 

Jesli chodzi o pytanie: "...Swoja droga ciekawa czy sa jakies specjalistyczne firmy ktore podolaja takim umowom ..." Oczywiscie ze sa! Nalezy poszukac.

 

Gruss

tomasz

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Najwyrazniej w informacji od GIODO mozna znalezc: Informuję, iż w przypadku, gdy administrator danych zawarł z podmiotem świadczącym usługi hostingowe umowę powierzenia przetwarzania danych

w systemie informatycznym podmiot świadczący usługi hostingowe ponosi odpowiedzialność z tytułu naruszenia zasad ochrony danych osobowych w zakresie określonym w umowie oraz w art. 31 ustawy.

 

To prawda. Ale wydaje mi się, że w takim przypadku firma hostingowa nie staje się automatycznie administratorem zbioru danych. Jest właśnie tym, co zacytowałeś: podmiotem, któremu administrator zbioru powierzył przetwarzanie danych w pewnym zakresie.

 

Jesli chodzi o pytanie: "...Swoja droga ciekawa czy sa jakies specjalistyczne firmy ktore podolaja takim umowom ..." Oczywiscie ze sa! Nalezy poszukac.

 

I właśnie to robię.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

W ostatnich latach bralem udzial (oraz nadal biore) w wielu projektach ktore przetwarzaja dane osobowe. W skrocie moge jedynie stwierdzic, ze kazda strona ktora "przetwarza" (po definicje odsylam do ustawy) musi wyznaczyc Administratora Bezpieczenstwa Informacji (ABI), ktory bedzie przeszkolony i odpowiedzialny za przetwarzanie danych zgodnie z ustwa, wytycznymi GIODO, MSWiA oraz kilkoma innymi aktami prawnymi. ABI jest odpowiedzialny takze za cala "papierkologie" dotyczaca procesu przetwarzania danych (a jest tego sporo). Kazdy podmiot zwiazany z przetwarzaniem danych objetych ochrona musi posiadac wlasnego ABI oraz prowadzic oddzielna dokumentacji.

 

Podsumowujac, zaden znany mi "shared" hosting typu rubikon.pl czy home.pl zapewne nie spelnia wymogow. Dodatkowo w celu powierzenia przetwarzania danych musi zostac zawarta umowa pomiedzy podmiotami oraz musi zostac przekazana (powierzenie) baza (lub jej czesc) zawierajaca dane objete ochrona.

 

Uslugi zwiazane przetwarzaniem danych osobowych swiadczy Warsaw Data Center wraz z cala obsluga prawna i organizacyjna, koszt takiej uslugi nie wygorowany i zaczyna sie od kilku tysiecy złotych miesiecznie.

 

Jako ciekawostke dodam, ze posiadam pismo z GIODO stwierdzajace ze adres e-mail jest "dana osobowa" i jego przetwarzanie podlega ochronie (takie stanowisko zajelo GIODO pod koniec 2002 roku).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Mając na uwadze powyższe informuję, iż analiza okoliczności faktycznych i prawnych związanych z działalnością podmiotów oferujących usługi hostingowych prowadzi do wniosku, iż podmiot świadczący usługi hostingowe nie staje się administratorem danych przetwarzanych przez niego w ramach umowy hostingu. Informuję, iż w przypadku, gdy administrator danych zawarł z podmiotem świadczącym usługi hostingowe umowę powierzenia przetwarzania danych

w systemie informatycznym podmiot świadczący usługi hostingowe ponosi odpowiedzialność z tytułu naruszenia zasad ochrony danych osobowych w zakresie określonym w umowie oraz w art. 31 ustawy.

 

Z tego, co zostało tutaj zacytowane wynika jasno, że póki nie podpisze się z dostawcą usług hostingowych umowy o powierzeniu im danych osobowych (administracji nimi itd.), to odpowiedzialność spoczywa na podmiocie zbierającym i przetwarzającym te dane.

 

Natomiast jeśli home.pl podpisze taką umowę, a nie ma odpowiedniego zaplecza (osoby o uprawnieniach itd.), to łamie prawo.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

OK, udzielę sie i ja...

Osobiście nie jestem prawnikiem, ale mam jakiś zdrowy rozsądek.

 

Ustawa o prywatności i ochronie takich danych dotyka przede wszystkim firmy, które przetrzymują jest w sposób bezpośredni - np. w formie cyfrowej - dotyczy to np. firm hostingowych.

 

Osoba, która wykupiła hosting, u którego z dużych dostawców nie musi się o nic martwić. Masz swoje konto www, do niego bazę danych, w której spoczywają te dane. Nie obchodzi Cię już nic więcej. Dostawca musi Ci zagwarantować, żeby Twoje dane nie zostały nigdzie wyniesione - zarówno dane osobiste, które trzymają u siebie na komputrze głównym, jak i dane w postaci plików Twojego konta www. Tak więc powinieneś spać spokojnie. Za takie rzeczy odpowiedzielny jest home. IMO konsultant, mimo, ze w 90% to głąby, nie odpowiedział tak źle. Wnioskuje, że powiedział coś w moim stylu, co prawdopodobnie trzyma się kupy.

 

Z resztą żyjemy w takim kraju, że wogóle obawa wydaje się być śmieszna. Kto to sprawdza. Wiadomo, że nieznajomość prawa nie upoważnia do jego łamania, ale jeśli to prawo popełnili jacyś w miarę rozsądni ludzie to ta ustawa wygląda tak jak napisałem powyżej.

 

Pozdrawiam

PS. Wiem jestem opieszały, chamski i zapatrzony tylko na siebie. I uwazam sie za rozsadnego czlowieka... Wiem, wiem - dowcip mnie się z rana trzyma. Mimo, ze wstałem o 3.00, żeby oglądać finał NBA.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Ustawa o prywatności i ochronie takich danych dotyka przede wszystkim firmy, które przetrzymują jest w sposób bezpośredni - np. w formie cyfrowej - dotyczy to np. firm hostingowych.

 

Chyba nie bardzo. Też zdroworozsądkowo -- wydaje mi się, że odpowiedzialność spoczywa na tych, którzy się zobowiążą do ochrony danych osobowych. A zbieranie takich danych od użytkowników serwisu oznacza właśnie takie zobowiązanie.

 

Osoba, która wykupiła hosting, u którego z dużych dostawców nie musi się o nic martwić. Masz swoje konto www, do niego bazę danych, w której spoczywają te dane. Nie obchodzi Cię już nic więcej. Dostawca musi Ci zagwarantować, żeby Twoje dane nie zostały nigdzie wyniesione

 

Byłoby miło, ale niestety nie musi, i nie gwarantuje. W regulaminie nic takiego się nie pojawia.

 

Za takie rzeczy odpowiedzielny jest home. IMO konsultant, mimo, ze w 90% to głąby, nie odpowiedział tak źle. Wnioskuje, że powiedział coś w moim stylu, co prawdopodobnie trzyma się kupy.

 

Niestety nie jest. Co więcej, według ustawy dopóki formalnie nie przekażę komuś przetwarzania danych osobowych, to moim obowiązkiem jest zapewnić że ta osoba/firma nie ma do nich dostępu. Więc musiałbym zabezpieczyć serwis między innymi przed firmą hostingową.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

OK, czyli odpowiedz poprawna to - założyć własny serwer i na nim przetrzymywac takie dane.

 

pozdr B)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Jako ciekawostke dodam, ze posiadam pismo z GIODO stwierdzajace ze adres e-mail jest "dana osobowa" i jego przetwarzanie podlega ochronie (takie stanowisko zajelo GIODO pod koniec 2002 roku).

 

Hi!

 

Mozesz opublikowac tekst tego pisma.

 

W ten sposob wszystko jest proste. Na kazdym serwerze znajduje sie kilka plikow z adresami email, np. plik konfiguracyjny sendmaila.

 

Zawieraja adresy email kont pocztowych, ktore sa obslugiwane przez serwer poczty elektronicznej. Zawieraja rowniez przekierowania poczty na zewnetrzne adresy email. Jesli GIODO twierdzi, ze nawet adres email jest dana osobowa, to kazdy administrator serwerow jest odpowiedzialny za ochrone danych osobowych na jego serwerze miedzy innymi zwyklego pliku "virtusertable". Bzdura jest twierdzenie, ze firma oferujaca hosting nie musi dbac o ochrone danych osobowych. Jesli firma nie gwarantuje ochrony danych przetwarzanych przez jej klientow, powinna przynajmniej chronic te dane, ktore sama przetwarza. Oczywisty jest fakt, ze wiekszosc administratorow serwerow nawet nie wie jakie dane osobowe przetwarza.

 

Zwykle pliki passwd/shadow zawieraja dane osobowe. A ochrony tych plikow nikt nie mozna zaniedbywac.

 

Gruss

tomasz

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie mowcie mi, ze jak na stronie mojej agencji bedzie newsletter to musze go zglaszac do GIODO bo chyba padne ze smiechu.

 

Przeciez to glupota.

 

Z resztą, cytat z art. 6 ust. 3 ustawy o ochronie danych osobowych.

za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Ponadto napisane jest też tak,
W świetle powyższej definicji należy przyjąć, że danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy i numer domu czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić daną osobową wówczas, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej osoby.

 

Czyli e-maile moge przetwarzac w sposob dowolny. Nie sa danymi osobowymi.

 

Pozdrawiam

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Osoba, która wykupiła hosting, u którego z dużych dostawców nie musi się o nic martwić. Masz swoje konto www, do niego bazę danych, w której spoczywają te dane. Nie obchodzi Cię już nic więcej. Dostawca musi Ci zagwarantować, żeby Twoje dane nie zostały nigdzie wyniesione

 

Nie zgodzę się z Tobą do końca. To projektant serwisu musi zadbać, o to by aplikacją, którą zastosował, gwarantowała bezpieczeństwo danych. Zdarzają się włamania, wycieki hasłem i zazwyczaj one wynikają z lukach w skryptach - hostingodawca do tego nic nie ma.

 

Pojawił się wątek, że hostingodawca staje sie Administratorem danych osobowych, i ponosi za nie pełną odpowiedzialność (z racji przechowywania danych na jego urządzeniach). Idąc tym tokiem rozumowania, można dojść do wniosku, że również operator telekomunikacyjny, który dostarcza Internet również jest Administratorem tychże danych osobowych, bowiem przez pewiem okres czasu (ułamki sekund) przechowuje przesyłane dane osobowe na swoich urządzeniach sieciowych i routerach. BA! Nawet ktoś (np. pracownik operatora) może potencjalnie podłączyć urządzenie podsłuchujące (sniffing). Skoro krajowy operator, to i międzynarodowy, itp itp. Można dojść do paradoksu, że wszyscy stają się Administratorami danych osobowych czytając wypowiedzi Tomasza oraz paru innych użytkowników.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Hi!

 

Dyskusja jest ponownie kierowana przeciwko mojej osobie. Kazdy ma prawo do tego tematu na wlasne zdanie. Rowniez ja.

 

Jesli wszystko jest takie proste, jesli pojecie "administrator danych osobowych" obejmuje znikoma ilosc ludzi to dlaczego wszystkie firmy chronia swoje serwery, dostawcy laczy uzywaja firewalli a gdy jest jakis przeciek danych to dostawca dostaje po "glowie". To niech kazdy opublikuje tutaj dane dostepowe do jego serwerow, dlaczego to chronic skoro administrator nie ma zadnych obowiazkow. Dlaczego wszyscy uzywaja SSL i tak nie ma sensu skoro kazdy dostawca laczy ma prawo podsluchu. Czy tak jest? Przeciez nic nie mozna jemu zrobic ! Na podstawie jakiej ustawy? Dlaczego firmy oferujace hosting wykonuja backupy danych, przecieu wystarczy napisac, "nasza oferta nie jest zgodna z ustawa o ochronie danych osobowych". Co rozumie klient, to juz inna sprawa. Dlaczego inwestuja firmy hostingowe w bezpieczenstwo i tak nie ma sensu, wydatki mozna zaoszczedzic i przekazac np. na nowy samochod firmowy.

 

Ochrona danych osobowych to powazny problem, aby w taki prosty sposob o tym tutaj dyskutowac.

 

Nasuwa sie pytanie: jak nazwac czlowieka odpowiedzialnego w firmie hostingowej, ktoremu zostaly powierzone dane osobowe od administratora danych osobowych, ktory ma takie same obowiazki jak administrator danych osobowych ?

 

Przygotuje do konca lipca specjalna oferte dla firm, u ktorych pojecie "ochrona danych osobowych" ma najwyzszy priorytet .

 

Home.pl tymczasowo nie moze zagwarantowac uslugi zgodnej z ustawa o ochronie danych osobowych. Z prostego powodu, oferuja konta testowe !

 

Gruss

tomasz.b

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Jesli wszystko jest takie proste, jesli pojecie "administrator danych osobowych" obejmuje znikoma ilosc ludzi to dlaczego wszystkie firmy chronia swoje serwery, dostawcy laczy uzywaja firewalli a gdy jest jakis przeciek danych to dostawca dostaje po "glowie". To niech kazdy opublikuje tutaj dane dostepowe do jego serwerow, dlaczego to chronic skoro administrator nie ma zadnych obowiazkow. Dlaczego wszyscy uzywaja SSL i tak nie ma sensu skoro kazdy dostawca laczy ma prawo podsluchu. Czy tak jest? Przeciez nic nie mozna jemu zrobic ! Na podstawie jakiej ustawy? Dlaczego firmy oferujace hosting wykonuja backupy danych, przecieu wystarczy napisac, "nasza oferta nie jest zgodna z ustawa o ochronie danych osobowych". Co rozumie klient, to juz inna sprawa. Dlaczego inwestuja firmy hostingowe w bezpieczenstwo i tak nie ma sensu, wydatki mozna zaoszczedzic i przekazac np. na nowy samochod firmowy.

 

Widzę, że zbaczasz z sedna sprawy. Wiesz dlaczego firmy inwestują w swoją infrastrukturę (backupy, bezpieczne serwery, etc.) ? Po to by zapewnić przyzwoitą jakość usług. Zakup samochodu nie da firmie dużo, natomiast nowoczesne technologie i certyfikaty SSL owszem. To może przynieść więcej korzyści w przyszlości niż luksusowy samochód. Niemniej jednak moim zdaniem firma hostingowa nie odpowiada za to, że dane zostały utracone poprzez kataklizm, bądż skradzione poprzez włamanie fizyczne lub sieciowe (mimo należytych środków bezpieczeństwa).

Zresztą jaką odpowiedzialność za dane ponosi hostingodawca powinna precyzować umowa pomiędzy hostingodawcą, a hostingobiorcą.

 

Konta testowe w nie mają nic do rzeczy. Jeśli się posiada odpowiednie zabezpieczenia, klientów trzyma się w środkowisku chroot, to nie widzę przeciwwskazań.

 

PS. Tomku - masz wykupiony chociaż certyfikat SSL ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Znów się flame zaczyna.. Było już obrażalstwo, pisma do GIODO z pytaniami parę tygodni temu, a Ty Tomku dalej swoje.. : )

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość
Temat jest zablokowany i nie można w nim pisać.
Zaloguj się, aby obserwować  

×