1. W skrócie
Zbiory danych osobowych powinny być zgłoszone do GIODO
(Generalny Inspektor Danych Osobowych) przez administratora danych.
Takim zbiorem jest także lista nazwisk i telefonów klientów.
Wyjątkiem jest zbiór danych osobowych konieczny do procesy wystawienia
faktury (Art. 23, p. 8).
Portal recepcja.info nie pełni roli
administratora danych, ale jest zobowiązany do zapewnienia
odpowiedniego poziomu zabezpieczeń. Firma Aplikacja.info prowadząca
portal podpisuje umowę powierzenia przetwarzania danych osobowych
potwierdzając spełnianie wymagań zdefiniowanych przez GIODO.
2. Definicje
- Portal
- portal dostępny pod adresem https://recepcja.info
- Usługodawca
- podmiot, który założył konto w Portalu,
opłacający usługę
- Poradnik
- ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych
- Ustawa
- USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
- Rozporządzenie
- Dz. U. z 2004 r. Nr 100, poz. 1024, ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r.
- Załącznik
- Załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
3. Ustawa
Portal recepcja.info rejestruje nazwiska i telefony klientów, ale
nie pełni roli administratora danych ponieważ nie decyduje o celach przetwarzania
(udostępnia jedynie środki techniczne służące do przetwarzania).
Na podstawie Art. 6 Ustawy:
[administrator danych osobowych] rozumie się przez to organ, jednostkę
organizacyjną, podmiot lub osobę, o
których mowa w art. 3, decydujące o celach i środkach przetwarzania
danych osobowych;
Z drugiej strony nie jest to zwykła umowa o hostingu infrastruktury
ponieważ recepcja.info posiada
wiedzę na temat rodzaju danych
zawartych w systemie:
Jeżeli podmiot udostępniający system (serwer) nie posiada wiedzy co do
rodzaju danych przetwarzanych w tym systemie i nie powierzono mu
danych w myśl art. 31 ustawy, to podlega on postanowieniom art. 14
ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną
i jego odpowiedzialność za przetwarzane dane jest ograniczona zgodnie
z art. 12–15 tej ustawy.
Więc (na podstawie Poradnika) musi wdrożyć adekwatny poziom zabezpieczeń:
Podmiot, któremu powierzono przetwarzanie danych osobowych nie staje się ich
administratorem, jest jednak obowiązany, przed rozpoczęciem przetwarzania,
podjąć środki zabezpieczające, o których mowa w art. 36– –39 ustawy, oraz
spełnić wymagania, określone w rozporządzeniu do ustawy
Sprawdźmy więc, jakie obowiązki spoczywają na Portalu i w jaki
sposób są przezeń realizowane.
Art 36: Ustawy stanowi:
1. Administrator danych jest obowiązany zastosować
środki techniczne i organizacyjne zapewniające ochronę
przetwarzanych danych osobowych odpowiednią do zagrożeń oraz
kategorii danych objętych ochroną, a w szczególności powinien
zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym,
zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem
ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
2. Administrator danych prowadzi dokumentację opisującą sposób
przetwarzania danych oraz środki, o których mowa w ust. 1.
Zabezpieczenie przed udostępnianiem osobom niepowołanym oparte
jest na trudnym do zgadnięcia, losowo generowanym haśle
generowanym podczas rejestracji
konta w systemie (zarówno konta Usługodawcy jak i Klienta).
Tylko po podaniu tego hasła można uzyskać dostęp do danych osobowych.
Przesył hasła jest chroniony przez szyfrowane połączenie HTTPS.
Aby zmniejszyć ryzyko utraty lub uszkodzenia danych Właściciel Portalu
prowadzi regularne, automatyczne kopie zapasowe.
W przypadku uszkodzenia lub zniszczenia zbioru danych w wyniku awarii jest możliwe
jego odtworzenie.
Art. 37.: Do przetwarzania danych mogą być dopuszczone wyłącznie
osoby posiadające upoważnienie nadane przez administratora danych.
Tylko osoba posiadająca dostęp do konta usługodawcy (chroniony
hasłem i połączeniem szyfrowanym) uzyska dostęp do danych.
Art. 38.: Administrator danych jest obowiązany zapewnić kontrolę
nad tym, jakie dane osobowe, kiedy
i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Dane klientów są widoczne tylko w panelu Usługodawcy. Każdy rekord
klienta ma zapisaną datę i godzinę kiedy rekord został wprowadzony i
kiedy został zmodyfikowany.
Art. 39.: 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich
przetwarzania, która powinna zawierać:
1) imię i nazwisko osoby upoważnionej;
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania
danych osobowych;
3) identyfikator, jeżeli dane są przetwarzane w systemie
informatycznym.
2. Osoby, które zostały upoważnione do przetwarzania danych, są
obowiązane zachować w tajemnicy
te dane osobowe oraz sposoby ich zabezpieczenia.
Identyfikatorem w Portalu jest unikalny login tworzony na etapie
rejestracji. Choć imię i nazwisko nie jest bezpośrednio wymagane na
etapie rejestracji Usługodawcy dane osoby upoważnionej są tożsame z
danymi do faktury którą Portal wystawia.
4. Rozporządzenie
Rozporządzenie nakłada na administratora danych (także na
podmiot realizujący jego obowiązki) prowadzenie (w formie pisemnej)
następującej dokumentacji:
4.1. Polityka bezpieczeństwa
- fizyczna lokalizacja: serwer fizycznie zainstalowany jest w
serwerowni w Londynie
- lista zbiorów danych osobowych wraz ze strukturą: dane klientów
opisane są: nazwiskiem, numerem telefonu i (opcjonalnie) e-mailem
- implementacja poufności (dane nie są udostępniane
nieupoważnionym podmiotom): dostęp tylko z szyfrowaniem HTTPS po
podaniu loginu i unikalnego hasła
- integralności (brak możliwości zniszczenia lub zmiany bez
autoryzacji): dostęp na poziomie administracyjnym tylko po kluczu
- rozliczalności: logi systemowe pozwalają stwierdzić kto i kiedy
modyfikował dane
4.2. Instrukcja zarządzania systemem informatycznym
- nadawanie uprawnień: każdy Usługodawca który założy
konto w Portalu uzyskuje automatycznie dostęp do swojego zbioru
- odbieranie uprawnień: usunięcie konta jest możliwe
poprzez kontakt z administratorami Portalu
- sposoby uwierzytelnienia: login (definiowany przy zakładaniu
konta) i hasło (generowane losowo przy zakładaniu konta)
- kopie zapasowe: wykonywane automatycznie raz dziennie,
około godz. 22 (CEST/CET)
- dane osobowe przechowywane są w bazie danych, kopie zapasowe są
przechowywane lokalnie na serwerze i kopiowane na zewnętrzny,
dodatkowy serwer
- zabezpieczenia systemu przed nieuprawnionym dostępem: login + hasło
- zabezpieczenia systemu przed awarią zasilania: dostarczane
przez serwerownie w ramach odrębnej umowy
- informacja o odbiorcach danych osobowych (par. 7, pkt. 1, ust.
4 Ustawy) - tylko Usługodawca ma dostęp do danych osobowych, nikt
inny
- przeglądy i konserwacja systemów i nośników - realizowane w
ramach odrębnej umowy z serwerownią
Z definicji w rozporządzeniu wynika, że dla danych Portalu
obowiązuje wysoki poziom bezpieczeństwa. Aplikacja tego poziomu
opisana jest w sekcji "Załącznik".
4.3. Wymagania zdefiniowane w pkt 7 Rozporządzenia
- rejestracja daty pierwszego wprowadzenia danych do systemu:
okno edycji danych klienta, na dole strony jest data utworzenia
rekordu
- identyfikator użytkownika który dane wprowadził: z konstrukcji
systemy wynika, że klient końcowy (którego dane dotyczą) może
wprowadzić swoje dane do systemu
- informacja o odbiorcach - tylko Usługodawca widzi dane swoich
klientów
- odnotowanie sprzeciwu (art. 32 ust. 1 pkt 8 Ustawy): każde
konto Klienta można zablokować (poprzez Usługodawcę),
powoduje to brak możliwości przetwarzania danych (wysyłania SMS,
rejestracji wizyt)
5. Załącznik
Załącznik specyfikuje środki bezpieczeństwa używane na
poziomie wysokim.
- A. Środki bezpieczeństwa na poziomie podstawowym
- I. fizyczne zabezpieczenie serwerowni przed niepowołanym
dostępem: realizowane w ramach odrębnej umowy z firmą
dostarczającą usługi serwerowni
- II. mechanizmy kontroli dostępu do danych: hasło, tylko
po podaniu loginu i hasła dostęp jest możliwy, tylko jedna
osoba (Usługodawca) ma dostęp do danego zbioru danych
osobowych
- III. zabezpieczenia przed nieautoryzowanym dostępem: w
przypadku ataków typu brute-force stosowany jest mechanizm
automatycznej blokady dostępu, i przed problemami z
zasilaniem: zapewniane przez umowę z dostawcą serwerowni
- IV:
niedostępność zablokowanych identyfikatorów: nie
obowiązuje, ponieważ w ramach konta Usługodawcy jest tylko
jeden użytkownik
hasło: co najmniej 6 znaków (zastąpione
przez p. VIII),
zalecana zmiana hasło: nie rzadziej niż 30 dni
kopie zapasowe: przechowywane w niedostępnej publicznie
części serwera, usuwane są po 7 dniach (cykl tygodniowy)
- V. zabezpieczenia komputera przenośnego: szyfrowanie danych
i dostęp po haśle
- VI. likwidacja nieużywanych nośników: używane jest
oprogramowanie shred, zamazujące cały dysk, bez możliwości
odzysku plików, naprawa: nośnik jest usuwany przed oddaniem
komputera do naprawy
- VII. Administrator danych monitoruje wdrożone
zabezpieczenia systemu informatycznego
- B. Środki bezpieczeństwa na poziomie podwyższonym
- VIII. hasło: 8 znaków hasła małe / wielkie litery i znaki
specjalne
- IX. + X. zabezpieczenia nośników z danymi osobowymi:
szyfrowanie
- XI. Administrator danych stosuje na poziomie podwyższonym
środki bezpieczeństwa określone w części A
załącznika, o ile zasady zawarte w części B nie stanowią
inaczej.
- C. Środki bezpieczeństwa na poziomie wysokim
- XII. fizyczne zabezpieczenia: realizowane
przez dostawcę infrastruktury serwerowni,
kontrola przepływu informacji: logi systemowe
rejestrujące czas, adres IP i adres URL
- XIII. środki kryptograficznej ochrony: połączenie HTTPS
(certyfikat SSL firmy Comodo)
- XIV. Administrator danych stosuje na poziomie wysokim
środki bezpieczeństwa, określone w części A i B
załącznika, o ile zasady zawarte w części C nie stanowią
inaczej