Skocz do zawartości
Gość mariaczi

Sklep internetowy, GIODO

Przez Gość mariaczi, w Bezpieczeństwo

Polecane posty

Gość   

Gość
Napisano

Cześć.

 

Czy chcąc prowadzić sklep internetowy czy to na jakimś otwartym CMSie czy szytym na miarę wymagana jest rejestracja w GIODO? Czy wystarczy, że serwerownia ma podpisane takie dokumenty?

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

strefapc    69

strefapc
Napisano

Co ma serwerownia do sklepu klienta? Właściciel sklepu przetwarza dane osobowe klientów nie serwerownia i on ma obowiązek zarejestrowania tego w GIODO.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

N0Name    48

N0Name
Napisano (edytowany)

Oczywiście że ty jako właściciel zgłaszasz sklep do giodo bo to twoja firma będzie przetwarzać dane, ty jedynie z firmą hostingową możesz podpisać umowę o bezpieczne powierzenie tych danych. Nie zgłoszenie sklepu może być naprawdę nieprzyjemne w skutkach zwłaszcza jak ktoś ma duże obroty.

Edytowano przez N0Name (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

blfr    225

blfr
Napisano (edytowany)

Co ma serwerownia do sklepu klienta?

Serwerowni powierzasz dane, więc nie tylko sam musisz bazę zgłosić, ale jeszcze mieć umowę ze swoim hostingodawcą odpowiednią. O ile dobrze rozumiem, taka umowa jest konieczna, a nie opcjonalna.

Edytowano przez blfr (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

strefapc    69

strefapc
Napisano

Kiedy wymagane jest podpisanie "Umowy o powierzeniu danych osobowych".

Podpisanie umowy niezbędne jest :
W przypadku, gdy z natury świadczonej przez dostawcę usługi wynika iż posiądzie on wiedzę o zgromadzonych w systemie danych.
- Administracja bazą danych lub aplikacją służącą do przetwarzania danych.
- Administracja całym systemem operacyjnym i aplikacjami.
- Odzyskiwanie danych.
- inne o ile z zawartej umowy o świadczenie usługi wynika iż usługodawca ma wykonywać działania na danych osobowych.

Podpisanie umowy nie jest konieczne:
W przypadku, gdy dostawca dostarcza jedynie platformę sprzętową, bądź systemową, a umowa o usługi nie definiuje charakteru danych, ani nie obliguje usługodawcy do działań na nich.
- Hosting (bez administracji)
- Serwer dedykowany (bez administracji)
- Konta shellowe
- Sewer VPS (bez administracji)

Czyli umowa jest niezbędna, gdy usługodawca ma wykonywać logiczne i świadome operacje na zgromadzonym zbiorze.

Dodatkowo należy pamiętać, że podpisanie "Umowy powierzenia przetwarzania danych osobowych" nie zmniejsza ani odpowiedzialności , ani obowiązków "Administratora", którym zawsze z mocy Ustawy pozostaje podmiot zleceniodawca.

 

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

blfr    225

blfr
Napisano

Kiedy wymagane jest podpisanie "Umowy o powierzeniu danych osobowych".

Co to za informacja? Kto tak twierdzi i na jakiej podstawie?

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

strefapc    69

strefapc
Napisano

Co to za informacja? Kto tak twierdzi i na jakiej podstawie?

 

Wytyczne GIODO (źródło http://www.giodo.gov.pl/) :

 

"Zgodnie z art. 31 ust. 1 ustawy powierzenie przetwarzania danych osobowych musi być dokonane w formie umowy, która określi m.in. jego zakres oraz zadania i obowiązki podmiotu, któremu przetwarzanie zostaje powierzone. Nie każda zatem umowa hostingu stron internetowych może być uznana za umowę powierzenia przetwarzania danych osobowych. Z sytuacją powierzenia przetwarzania danych osobowych będziemy mieli do czynienie tylko wtedy, gdy zawarta umowa spełniać będzie wymagania określone w art. 31 ustawy. Oznacza to, że musi być ona sporządzona w formie pisemnej i wskazywać cel oraz zakres przetwarzania. Jeżeli usługa hostingu sprowadza się wyłącznie do dzierżawy miejsca na serwerze, to w zakresie przetwarzania danych powinien się znaleźć co najmniej obowiązek odpowiedniego zabezpieczenia przetwarzanych danych przed nieupoważnionymi zmianami lub zniszczeniem. Ponadto, jeżeli powierzający przetwarzanie nie wykonuje kopii zapasowej przetwarzanego zbioru danych u siebie, to obowiązek ten musi być wykonywany przez podmiot hostujący, co również powinno być zawarte w umowie.

Jeżeli podmiot udostępniający system (serwer) nie posiada wiedzy co do rodzaju danych przetwarzanych w tym systemie i nie powierzono mu danych w myśl art. 31 ustawy, to podlega on postanowieniom art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przetwarzane dane jest ograniczona zgodnie z art. 12-15 tej ustawy."

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

blfr    225

blfr
Napisano

Czyli nawet wynajęcie tylko miejsca pod dane wymaga umowy

 

Jeżeli usługa hostingu sprowadza się wyłącznie do dzierżawy miejsca na serwerze, to w zakresie przetwarzania danych powinien się znaleźć co najmniej obowiązek odpowiedniego zabezpieczenia przetwarzanych danych przed nieupoważnionymi zmianami lub zniszczeniem.

sprzecznie z tym, co wklejałeś wyżej

 

Podpisanie umowy nie jest konieczne:

W przypadku, gdy dostawca dostarcza jedynie platformę sprzętową, bądź systemową, a umowa o usługi nie definiuje charakteru danych, ani nie obliguje usługodawcy do działań na nich.

- Hosting (bez administracji)

- Serwer dedykowany (bez administracji)

- Konta shellowe

- Sewer VPS (bez administracji)

 

Czyli umowa jest niezbędna, gdy usługodawca ma wykonywać logiczne i świadome operacje na zgromadzonym zbiorze.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

strefapc    69

strefapc
Napisano

Wynajmując serwer w DC bez administracji sam musisz zapewnić sobie zabezpieczenie danych przed niepowołanym dostępem, zmianami czy tez zniszczeniem. DC nie zapewnia w 100%, że np dysk padnie i przez to utracisz dane.

Każde DC(chyba, że w garażu) ma odpowiednie zapisy w regulaminie odnośnie dostępu do wynajmowanych urządzeń więc nie ma potrzeby podpisywania dodatkowych umów, gdyż nie przetwarza ani nie administruje danymi znajdującymi się na serwerze.

W naszym kraju nie dość, że są "pomerdane" przepisy to dodatkowo sami próbujemy jeszcze je sobie zagmatwać.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Hekko.pl    239

Hekko.pl
Napisano

Naszym zdaniem samo DC nie potrzebuje takich zapisów, ale już Klient - owszem. Chodzi o to, że właściciel sklepu jest administratorem danych, natomiast firma hostingowa jest ich procesorem w rozumieniu przepisów o ochronie danych osobowych.

 

Fakt:

Nie każda umowa na hosting (kolokację, dedyka, vps) jest umową powierzenia danych osobowych. Można przetwarzać dane nie mając w ogóle świadomości, że są danymi osobowymi, albo po prostu dane, które nimi faktycznie nie są. Jako Klient nie potrzebujesz pisemnej umowy powierzenia przetwarzania jeśli danych takich nie przetwarzasz.

 

Mit:

Data center jest "zgodne z GIODO" i to wystarczy. ABSOLUTNIE NIE WYSTARCZY. Jako Klient, na przykład właściciel sklepu, musisz spełnić szereg prawnych wymogów związanych z legalnym, zgodnym przepisami administrowaniem danymi osobowymi. To, że serwer kupujesz w jakiejś firmie oznacza, że pewne operacje na danych są przez tą firmę wykonywane, np. backupowanie, wymiana dysków itp. Co za tym idzie - Ty jako administrator danych musisz mieć zawartą w tym zakresie umowę powierzenia przetwarzania danych osobowych. Tak więc "serwerownia zgodna z GIODO" i tym podobne zapisy nic nie znaczą. To TY masz być zgodny z przepisami, a nie operator, bo to Ty jesteś administratorem danych. Technicznie tylko w pewnym zakresie powierzyłeś je firmie hostingowej (na podst. umowy powierzenia zawartej na piśmie). Akurat w naszym zespole są osoby, które uczestniczyły już w kontrolach GIODO, więc "nie zgadujemy".

 

Pisemna umowa powierzenia nie zwalnia Cię w żaden sposób z pozostałych obowiązków administratora danych.

Ponieważ wielu Klientów, podobnie jak Ty, o te zagadnienia pyta, to nieco więcej informacji znajdziesz na naszym blogu tutaj:

http://blog.hekko.pl/dane-osobowe-na-stronie-www/

 

Przyjemnej lektury!

 

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

siebek    4

siebek
Napisano

Tak dopełniając nieco z innej perspektywy - nie musisz zgłaszać zbioru jeśli powołasz ABI i a zbiór nie zawiera danych wrażliwych.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Hekko.pl    239

Hekko.pl
Napisano

Dokładne tak, jak mówi siebek - w przytoczonym artykule też wspominamy o tej nowelizacji z 2015 roku, która wprowadziła takie możliwości dla powołujących ABI.

 

@mariaci - Pamiętaj tylko, że zgłoszenie dokumentacji to jedno, a jej rzetelne prowadzenie to drugie. Nawet jeśli nie musisz zgłaszać - musi być ona prowadzona, żeby w razie płaczu nie było kontroli. Tu kłania się odpowiedzialność ABI, ale nie ma co chyba rozwijać już tak bardzo tych zagadnień. Najważniejsze: piłeczka jest głównie u Ciebie i taka umowa jest w Twoim interesie. Zgodność operatora hostingu z przepisami nie "przenosi się" automatycznie na Klientów firmy hostingowej, a dopiski typu "Serwerownia zgodna z GIODO" nijak się mają do ewentualnej wizyty dwóch smutnych panów pytających Cię nie tylko o umowę powierzenia przetwarzania, ale o całą dokumentację związaną z przetwarzaniem danych osobowych (więcej o tym w przytoczonym wyżej wpisie z naszego bloga).

 

PS - Jeśli potrzebujesz pomocy z przygotowaniu takiej dokumentacji - daj znać na priv, możemy polecić specjalistyczne kancelarie, które się na tym znają.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się
Przejdź do listy tematów Bezpieczeństwo
×