recepcja.info | Wirtualna Recepcja - Rejestracja wizyt przez Internet| GIODO

1. W skrócie

Zbiory danych osobowych powinny być zgłoszone do GIODO (Generalny Inspektor Danych Osobowych) przez administratora danych. Takim zbiorem jest także lista nazwisk i telefonów klientów. Wyjątkiem jest zbiór danych osobowych konieczny do procesy wystawienia faktury (Art. 23, p. 8).

Portal recepcja.info nie pełni roli administratora danych, ale jest zobowiązany do zapewnienia odpowiedniego poziomu zabezpieczeń. Firma Aplikacja.info prowadząca portal podpisuje umowę powierzenia przetwarzania danych osobowych potwierdzając spełnianie wymagań zdefiniowanych przez GIODO.

2. Definicje

Portal: portal dostępny pod adresem https://recepcja.info
Usługodawca: podmiot, który założył konto w Portalu, opłacający usługę
Poradnik: ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych
Ustawa: USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Rozporządzenie: Dz. U. z 2004 r. Nr 100, poz. 1024, ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r.
Załącznik: Załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.

3. Ustawa

Portal recepcja.info rejestruje nazwiska i telefony klientów, ale nie pełni roli administratora danych ponieważ nie decyduje o celach przetwarzania (udostępnia jedynie środki techniczne służące do przetwarzania). Na podstawie Art. 6 Ustawy:

[administrator danych osobowych] rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych;

Z drugiej strony nie jest to zwykła umowa o hostingu infrastruktury ponieważ recepcja.info posiada wiedzę na temat rodzaju danych zawartych w systemie:

Jeżeli podmiot udostępniający system (serwer) nie posiada wiedzy co do rodzaju danych przetwarzanych w tym systemie i nie powierzono mu danych w myśl art. 31 ustawy, to podlega on postanowieniom art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przetwarzane dane jest ograniczona zgodnie z art. 12–15 tej ustawy.

Więc (na podstawie Poradnika) musi wdrożyć adekwatny poziom zabezpieczeń:

Podmiot, któremu powierzono przetwarzanie danych osobowych nie staje się ich administratorem, jest jednak obowiązany, przed rozpoczęciem przetwarzania, podjąć środki zabezpieczające, o których mowa w art. 36– –39 ustawy, oraz spełnić wymagania, określone w rozporządzeniu do ustawy

Sprawdźmy więc, jakie obowiązki spoczywają na Portalu i w jaki sposób są przezeń realizowane.

Art 36: Ustawy stanowi:
1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.

Zabezpieczenie przed udostępnianiem osobom niepowołanym oparte jest na trudnym do zgadnięcia, losowo generowanym haśle generowanym podczas rejestracji konta w systemie (zarówno konta Usługodawcy jak i Klienta). Tylko po podaniu tego hasła można uzyskać dostęp do danych osobowych. Przesył hasła jest chroniony przez szyfrowane połączenie HTTPS.

Aby zmniejszyć ryzyko utraty lub uszkodzenia danych Właściciel Portalu prowadzi regularne, automatyczne kopie zapasowe. W przypadku uszkodzenia lub zniszczenia zbioru danych w wyniku awarii jest możliwe jego odtworzenie.

Art. 37.: Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

Tylko osoba posiadająca dostęp do konta usługodawcy (chroniony hasłem i połączeniem szyfrowanym) uzyska dostęp do danych.

Art. 38.: Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Dane klientów są widoczne tylko w panelu Usługodawcy. Każdy rekord klienta ma zapisaną datę i godzinę kiedy rekord został wprowadzony i kiedy został zmodyfikowany.

Art. 39.: 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
1) imię i nazwisko osoby upoważnionej;
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Identyfikatorem w Portalu jest unikalny login tworzony na etapie rejestracji. Choć imię i nazwisko nie jest bezpośrednio wymagane na etapie rejestracji Usługodawcy dane osoby upoważnionej są tożsame z danymi do faktury którą Portal wystawia.

4. Rozporządzenie

Rozporządzenie nakłada na administratora danych (także na podmiot realizujący jego obowiązki) prowadzenie (w formie pisemnej) następującej dokumentacji:

4.1. Polityka bezpieczeństwa

fizyczna lokalizacja: serwer fizycznie zainstalowany jest w serwerowni w Londynie
lista zbiorów danych osobowych wraz ze strukturą: dane klientów opisane są: nazwiskiem, numerem telefonu i (opcjonalnie) e-mailem
implementacja poufności (dane nie są udostępniane nieupoważnionym podmiotom): dostęp tylko z szyfrowaniem HTTPS po podaniu loginu i unikalnego hasła
integralności (brak możliwości zniszczenia lub zmiany bez autoryzacji): dostęp na poziomie administracyjnym tylko po kluczu
rozliczalności: logi systemowe pozwalają stwierdzić kto i kiedy modyfikował dane

4.2. Instrukcja zarządzania systemem informatycznym

nadawanie uprawnień: każdy Usługodawca który założy konto w Portalu uzyskuje automatycznie dostęp do swojego zbioru
odbieranie uprawnień: usunięcie konta jest możliwe poprzez kontakt z administratorami Portalu
sposoby uwierzytelnienia: login (definiowany przy zakładaniu konta) i hasło (generowane losowo przy zakładaniu konta)
kopie zapasowe: wykonywane automatycznie raz dziennie, około godz. 22 (CEST/CET)
dane osobowe przechowywane są w bazie danych, kopie zapasowe są przechowywane lokalnie na serwerze i kopiowane na zewnętrzny, dodatkowy serwer
zabezpieczenia systemu przed nieuprawnionym dostępem: login + hasło
zabezpieczenia systemu przed awarią zasilania: dostarczane przez serwerownie w ramach odrębnej umowy
informacja o odbiorcach danych osobowych (par. 7, pkt. 1, ust. 4 Ustawy) - tylko Usługodawca ma dostęp do danych osobowych, nikt inny
przeglądy i konserwacja systemów i nośników - realizowane w ramach odrębnej umowy z serwerownią

Z definicji w rozporządzeniu wynika, że dla danych Portalu obowiązuje wysoki poziom bezpieczeństwa. Aplikacja tego poziomu opisana jest w sekcji "Załącznik".

4.3. Wymagania zdefiniowane w pkt 7 Rozporządzenia

rejestracja daty pierwszego wprowadzenia danych do systemu: okno edycji danych klienta, na dole strony jest data utworzenia rekordu
identyfikator użytkownika który dane wprowadził: z konstrukcji systemy wynika, że klient końcowy (którego dane dotyczą) może wprowadzić swoje dane do systemu
informacja o odbiorcach - tylko Usługodawca widzi dane swoich klientów
odnotowanie sprzeciwu (art. 32 ust. 1 pkt 8 Ustawy): każde konto Klienta można zablokować (poprzez Usługodawcę), powoduje to brak możliwości przetwarzania danych (wysyłania SMS, rejestracji wizyt)

5. Załącznik

Załącznik specyfikuje środki bezpieczeństwa używane na poziomie wysokim.

A. Środki bezpieczeństwa na poziomie podstawowym
- I. fizyczne zabezpieczenie serwerowni przed niepowołanym dostępem: realizowane w ramach odrębnej umowy z firmą dostarczającą usługi serwerowni
- II. mechanizmy kontroli dostępu do danych: hasło, tylko po podaniu loginu i hasła dostęp jest możliwy, tylko jedna osoba (Usługodawca) ma dostęp do danego zbioru danych osobowych
- III. zabezpieczenia przed nieautoryzowanym dostępem: w przypadku ataków typu brute-force stosowany jest mechanizm automatycznej blokady dostępu, i przed problemami z zasilaniem: zapewniane przez umowę z dostawcą serwerowni
- IV:
  niedostępność zablokowanych identyfikatorów: nie obowiązuje, ponieważ w ramach konta Usługodawcy jest tylko jeden użytkownik
  hasło: ~~co najmniej 6 znaków~~ (zastąpione przez p. VIII), zalecana zmiana hasło: nie rzadziej niż 30 dni
  kopie zapasowe: przechowywane w niedostępnej publicznie części serwera, usuwane są po 7 dniach (cykl tygodniowy)
- V. zabezpieczenia komputera przenośnego: szyfrowanie danych i dostęp po haśle
- VI. likwidacja nieużywanych nośników: używane jest oprogramowanie shred, zamazujące cały dysk, bez możliwości odzysku plików, naprawa: nośnik jest usuwany przed oddaniem komputera do naprawy
- VII. Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego
B. Środki bezpieczeństwa na poziomie podwyższonym
- VIII. hasło: 8 znaków hasła małe / wielkie litery i znaki specjalne
- IX. + X. zabezpieczenia nośników z danymi osobowymi: szyfrowanie
- XI. Administrator danych stosuje na poziomie podwyższonym środki bezpieczeństwa określone w części A załącznika, o ile zasady zawarte w części B nie stanowią inaczej.
C. Środki bezpieczeństwa na poziomie wysokim
- XII. fizyczne zabezpieczenia: realizowane przez dostawcę infrastruktury serwerowni, kontrola przepływu informacji: logi systemowe rejestrujące czas, adres IP i adres URL
- XIII. środki kryptograficznej ochrony: połączenie HTTPS (certyfikat SSL firmy Comodo)
- XIV. Administrator danych stosuje na poziomie wysokim środki bezpieczeństwa, określone w części A i B załącznika, o ile zasady zawarte w części C nie stanowią inaczej