Skocz do zawartości
FrozenShade

Hosting www i rejestracja w GIODO

Polecane posty

Witam, posiadam stronę z forum, wszystko postawione na hostingu www w pewnej firmie. W bazie danych forum znajdują się dane osobowe zarejestrowanych użytkowników, więc mam obowiązek zarejestrowania takiej bazy w GIODO.

Czytałem, że dobrym rozwiązaniem jest podpisanie z firmą hostingową umowy o powierzeniu danych osobowych, co nie zwalnia z rejestracji zbioru, ale pozwala bez problemu wypełnić wniosek.

Co w przypadku, gdy firma hostingowa takiej umowy nie chce podpisać? Z tego co wiem taka umowa nie jest konieczna jeśli firma udostępniająca serwer, przestrzeń dyskową itp nie posiada wiedzy co do rodzaju danych przetwarzanych na tym serwerze, traktuje np bazę danych jako zamknięty zbiór w który w żaden sposób nie ingeruje.

 

Cały czas jednak ja, jako administrator serwisu internetowego mam obowiązek do rejestracji zbioru danych zawierających dane osobowe w GIODO. Zgłaszając zbiór danych muszę podać (w części E oraz F wniosku) informacje na temat technicznych oraz organizacyjnych środków ochrony.

 

Co w takim wypadku powinienem zrobić?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Usługodawca winien spełniać przynajmniej podstawowe wymagania GIODO. Podpisanie umowy przez daną firmę hostingową jest potwierdzeniem spełniania tych zależności, co jest podstawą do wpisu Pańskiej bazy w rejestrze GIODO. Po nawiązaniu umowy dana firma winna także udostępnić Panu wykaz stosowanych zabezpieczeń w celu prawidłowego uzupełnienia wniosku.

 

Jeśli dana firma nie chce nawiązać tego typu umowy, można wnioskować, że dany hosting może nie spełniać w/w warunków.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bzdura. Samo GIODO gdzieś już kiedyś wyjaśniało, że nie istnieje coś takiego jak określanie firm hostingowych, które spełniają ich wymagania. Jeśli jakaś firma się tak reklamuje to raczej sama nie do końca wie o co chodzi.

 

Wymagania musi spełniać konkretny system z konkretnego wniosku. Dla każdego użytkownika wymagania mogą być inne.

 

Podpisanie umowy o powierzenie danych osobowych firmie hostingowej, a spełnianie wymagań to dwie kolosalnie dalekie od siebie sprawy. Coś takiego przenosi sporą odpowiedzialność z klienta na firmę hostingową i większość firm za coś takiego bierze osobne pieniądze.

 

Firma hostingowa powinna klientowi udzielić pomocy przy wypełnianiu wniosku i udzielić wszelkich niezbędnych informacji dotyczących pytań związanych z samą firmą hostingową, ale nie ma absolutnie żadnego obowiązku, aby za darmo i w ramach jakiegoś hostingu podpisywać umowę i powierzenie tych danych.

 

My mamy setki klientów, którzy swoje bazy zgłaszali do GIODO i często z naszą pomocą - bez żadnych problemów. Nigdy nie było potrzeby podpisywania jakiejkolwiek umowy, a wymagania i odpowiedzi na sporą liczbę pytań z GIODO wymaga szczegółowej znajomości polityki klienta i działania jego systemu obsługującego daną bazę (np. skryptu sklepu internetowego), a nawet rozwiązań używanych na jego własnym komputerze/sieci lokalnej w biurze.

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

6. Czy firma zajmująca się hostingiem stron internetowych (czyli dzierżawą miejsca na serwerze i świadczeniem usług dostępu do tych serwisów z Internetu) staje się podmiotem przetwarzającym dane w sytuacji, gdy hostowany serwis posiada w swej strukturze dane osobowe i mechanizmy je obsługujące?

 

 

 

Zgodnie z art. 31 ust. 1 ustawy powierzenie przetwarzania danych osobowych musi być dokonane w formie umowy, która określi m.in. jego zakres oraz zadania i obowiązki podmiotu, któremu przetwarzanie zostaje powierzone. Nie każda zatem umowa hostingu stron internetowych może być uznana za umowę powierzenia przetwarzania danych osobowych. Z sytuacją powierzenia przetwarzania danych osobowych będziemy mieli do czynienie tylko wtedy, gdy zawarta umowa spełniać będzie wymagania określone w art. 31 ustawy. Oznacza to, że musi być ona sporządzona w formie pisemnej i wskazywać cel oraz zakres przetwarzania. Jeżeli usługa hostingu sprowadza się wyłącznie do dzierżawy miejsca na serwerze, to w zakresie przetwarzania danych powinien się znaleźć co najmniej obowiązek odpowiedniego zabezpieczenia przetwarzanych danych przed nieupoważnionymi zmianami lub zniszczeniem. Ponadto, jeżeli powierzający przetwarzanie nie wykonuje kopii zapasowej przetwarzanego zbioru danych u siebie, to obowiązek ten musi być wykonywany przez podmiot hostujący, co również powinno być zawarte w umowie.
Jeżeli podmiot udostępniający system (serwer) nie posiada wiedzy co do rodzaju danych przetwarzanych w tym systemie i nie powierzono mu danych w myśl art. 31 ustawy, to podlega on postanowieniom art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przetwarzane dane jest ograniczona zgodnie z art. 12–15 tej ustawy.

 

Źródło: https://edugiodo.giodo.gov.pl/file.php/1/INF1/INF_R05.html

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No i to jest właśnie potwierdzenie tego, co napisałem.

Firma hostingowa nie jest odpowiedzialna za sprawy GIODO własnego klienta, dopóki nie podpisze z nim takiej umowy, a takiego obowiązku absolutnie nie ma.

 

Tak jak w cytacie na końcu - nie znając specyfiki systemu i bazy klienta, obowiązuje nas ustawa o świadczeniu usług drogą elektroniczną, a to już jest zupełnie inna historia.

 

Reasumując, żadna firma hostingowa nie ma prawnego obowiązku podpisywania bezpłatnie umowy o powierzeniu danych osobowych własnego klienta.

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość nrm

Kluczowy fragment ;)

 

 

 

Jeżeli podmiot udostępniający system (serwer) nie posiada wiedzy co do rodzaju danych przetwarzanych w tym systemie i nie powierzono mu danych w myśl art. 31 ustawy, to podlega on postanowieniom art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przetwarzane dane jest ograniczona zgodnie z art. 12–15 tej ustawy.

 

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@Nrm,

...nie posiada wiedzy co do rodzaju danych przetwarzanych w tym systemie i nie powierzono mu danych...

 

 

@UnixStorm.org,

Jak rozumiem gdybym się przeprowadził do Was, to wszystko dało by się elegancko załatwić?

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Unixy maja 100% racji, co więcej podpsywanie takich umów w ciemno to raczej znak braku profesjonalizmu firmy hostingowej i branie na siebie extra ryzyka które może powodować problemy dla firmy w przyszłości.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@theONE: a jak nazwać sytuację, kiedy firma hostingowa nie chce udzielić informacji wymaganych do rejestracji bazy w GIODO? Czyżby mieli coś do ukrycia, nie spełniają standardów?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość

A jakie to informacje są potrzebne?

 

Jeszcze IQ PL ma mocną obsługę odnośnie GIODO, p. Monika Gierada - mgierada@iq.pl. Możesz podpytać, hosting też bardzo dobry : )

 

Niemniej jednak o papierzyska troszczy się nie hostingodawca (ew. może wspierać), a ten, co zbiera dane, czyli jak masz serwis, to Ty zbierasz, czyt. Ty dbasz o papierzyska...

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

@UnixStorm.org,

Jak rozumiem gdybym się przeprowadził do Was, to wszystko dało by się elegancko załatwić?

 

 

Nie podpisujemy umów o powierzenie danych osobowych, ale jak pisałem - pomagamy z pytaniami, które dotyczą naszych spraw, tj. rozwiązań i zabezpieczeń po stronie Centrum Danych i naszej sieci/serwerów.

 

Wystarczy przesłać do nas pytania, które dotyczą danego wniosku i na które klient nie zna odpowiedzi, a my odsyłamy wszystkie informacje, ewentualnie doradzamy gdzie szukać informacji do odpowiedzi na pytania, które nie dotyczą nas bezpośrednio.

 

Nie zdarzyło się nam jeszcze, aby GIODO odrzuciło wniosek któregoś z naszych klientów.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@UnixStorm.org ja nie potrzebuje podpisywać umowy o powierzeniu danych osobowych, właśnie o odpowiedzi na pytania mi chodzi. Mój obecny usługodawca nawet z tym ma problem.

 

@Sponsi: pytania o środki ochrony fizycznej, programowej oraz o infrastrukturę. Jest też pytanie o poziom bezpieczeństwa określony jakąś tam ustawą.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

U nas z pewnością takie informacje bez problemu uzyskasz, na zasadzie podobnej do przytoczonej przez theONE.

 

Nie wiem w jakiej firmie obecnie jesteś, więc ciężko mi coś doradzić, ale z doświadczenia wiem, że problem z udzieleniem odpowiedzi na takie pytania mają czasami firmy, które same nie do końca wiedzą co, gdzie i jak u nich stoi. Jeśli ktoś dzierżawi serwery dedykowane, których nigdy nie widział na oczy i w Centrum Danych, w którym nigdy nie był to może mieć problemy z objaśnieniem takich zagadnień.

 

My mamy wszystko swoje, wiemy co, jak i gdzie, a także od strony DC posiadamy niezbędne dane, więc nie ma problemu z opisaniem tych procedur/zabezpieczeń dla GIODO.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

FrozenSahde,
Obowiązek rejestracji zbioru danych istnieje, o ile zbiera się także te dane osobowe których nie udostępnia się publicznie.
Zawarcie umowy powierzenia przetwarzania danych jest obowiązkiem administratora. Hostingodawca, o ile nie zna charakteru przetwarzanych danych, nie ma obowiązku zawarcia takiej umowy. Jeżeli jednak poweźmie taką wiadomość, powinien zawrzeć umowę z administratorem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×