Gość Kamikadze Zgłoś post Napisano Grudzień 22, 2015 Może ktoś z doświadczeniem mi podpowiedzieć czy stawiając system CRM na serwerze WWW / VPS na którym będą dane osobowe (podstawowe dane + CV) trzeba podpisywać jakąś umowę z GIODO? Robi to hosting czy administrator systemu? Generalnie jak to ma się odbywać. Udostępnij ten post Link to postu Udostępnij na innych stronach
blfr 225 Zgłoś post Napisano Grudzień 22, 2015 (edytowany) Do GIODO trzeba zgłosić przetwarzanie danych osobowych albo przez zgłoszenie samego zbioru danych albo przez mianowanie kogoś w firmie ABI. Z GIODO nie podpisujesz żadnej umowy. Z firmą, której powierzasz dane osobowe, możesz podpisać umowę o powierzeniu danych i wskazać ją w zgłoszeniu do GIODO. To najprawdopodobniej nie musi być żadna specjalna umowa. Wystarczy, że się gdzieś w swoim regulaminie zgodzą na powierzenie danych i zadeklarują, że będą się z nimi obchodzić zgodnie z prawem. Ale prawa to ja nie kończyłem, więc pogooglaj, poczekaj na inne odpowiedzi. Edytowano Grudzień 22, 2015 przez blfr (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Artur Pajkert 39 Zgłoś post Napisano Styczeń 11, 2016 Cześć. To sprawa dość złożona i rozważyć musisz co najmniej 3 warstwy: Serwerową Aplikacyjną Organizacyjną ad 1. Zgodnie z Ustawą o ochronie danych osobowych: Art. 31. 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. A zatem musisz mieć z operatorem hostingu stosowną umowę powierzenia. Ponieważ zgodnie z ustawą taki podmiot może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie, dobrze jest określić zakres tych danych. W Ogicom stosujemy odpowiednie wzory umów powierzenia do tego celu, a nasi Klienci z powodzeniem przechodzą kontrole GIODO. ad 2. O wiele więcej roboty jest po stronie aplikacji. Poczytaj przepisy o przetwarzaniu danych z zachowaniem bezpieczeństwa na poziomie wysokim, są tam wymogi dot. złożoności i częstości zmieniania haseł, zabezpieczenia logowania itp. ad 3. Musisz zaprowadzić szczegółową dokumentację. Obojętnie, czy zgłosisz zbiór do GIODO, czy też nie - musisz stworzyć odpowiednią dokumentację, obejmującą m.in. politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym. Tego typu dokumentacja to podstawa w razie ewentualnej kontroli. Pamiętaj - kontrola GIODO rzadko ograniczy się tylko do Twojego CRM'a - to jest kontrola całej firmy. Obejmie zatem także kadry, księgowość i wszelkie zbiory danych osobowych, jakie są stosowane w firmie. Dokumentacja powinna uwzględniać zatem nie tylko Twoje interakcje z firmą hostingową, ale także z innymi podmiotami, którym przekazujesz dane osobowe. Powodzenia! Udostępnij ten post Link to postu Udostępnij na innych stronach