recepcja.info


GIODO

1. W skrócie

Zbiory danych osobowych powinny być zgłoszone do GIODO (Generalny Inspektor Danych Osobowych) przez administratora danych. Takim zbiorem jest także lista nazwisk i telefonów klientów. Wyjątkiem jest zbiór danych osobowych konieczny do procesy wystawienia faktury (Art. 23, p. 8).

Portal recepcja.info nie pełni roli administratora danych, ale jest zobowiązany do zapewnienia odpowiedniego poziomu zabezpieczeń. Firma Aplikacja.info prowadząca portal podpisuje umowę powierzenia przetwarzania danych osobowych potwierdzając spełnianie wymagań zdefiniowanych przez GIODO.

2. Definicje

Portal
portal dostępny pod adresem http://recepcja.info
Usługodawca
podmiot, który założył konto w Portalu, opłacający usługę
Poradnik
ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych
Ustawa
USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Rozporządzenie
Dz. U. z 2004 r. Nr 100, poz. 1024, ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r.
Załącznik
Załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.

3. Ustawa

Portal recepcja.info rejestruje nazwiska i telefony klientów, ale nie pełni roli administratora danych ponieważ nie decyduje o celach przetwarzania (udostępnia jedynie środki techniczne służące do przetwarzania). Na podstawie Art. 6 Ustawy:

[administrator danych osobowych] rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych;
Z drugiej strony nie jest to zwykła umowa o hostingu infrastruktury ponieważ recepcja.info posiada wiedzę na temat rodzaju danych zawartych w systemie:
Jeżeli podmiot udostępniający system (serwer) nie posiada wiedzy co do rodzaju danych przetwarzanych w tym systemie i nie powierzono mu danych w myśl art. 31 ustawy, to podlega on postanowieniom art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przetwarzane dane jest ograniczona zgodnie z art. 12–15 tej ustawy.

Więc (na podstawie Poradnika) musi wdrożyć adekwatny poziom zabezpieczeń:

Podmiot, któremu powierzono przetwarzanie danych osobowych nie staje się ich administratorem, jest jednak obowiązany, przed rozpoczęciem przetwarzania, podjąć środki zabezpieczające, o których mowa w art. 36– –39 ustawy, oraz spełnić wymagania, określone w rozporządzeniu do ustawy

Sprawdźmy więc, jakie obowiązki spoczywają na Portalu i w jaki sposób są przezeń realizowane.

Art 36: Ustawy stanowi:
1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.

Zabezpieczenie przed udostępnianiem osobom niepowołanym oparte jest na trudnym do zgadnięcia, losowo generowanym haśle generowanym podczas rejestracji konta w systemie (zarówno konta Usługodawcy jak i Klienta). Tylko po podaniu tego hasła można uzyskać dostęp do danych osobowych. Przesył hasła jest chroniony przez szyfrowane połączenie HTTPS.

Aby zmniejszyć ryzyko utraty lub uszkodzenia danych Właściciel Portalu prowadzi regularne, automatyczne kopie zapasowe. W przypadku uszkodzenia lub zniszczenia zbioru danych w wyniku awarii jest możliwe jego odtworzenie.

Art. 37.: Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

Tylko osoba posiadająca dostęp do konta usługodawcy (chroniony hasłem i połączeniem szyfrowanym) uzyska dostęp do danych.

Art. 38.: Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Dane klientów są widoczne tylko w panelu Usługodawcy. Każdy rekord klienta ma zapisaną datę i godzinę kiedy rekord został wprowadzony i kiedy został zmodyfikowany.

Art. 39.: 1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
1) imię i nazwisko osoby upoważnionej;
2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;
3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Identyfikatorem w Portalu jest unikalny login tworzony na etapie rejestracji. Choć imię i nazwisko nie jest bezpośrednio wymagane na etapie rejestracji Usługodawcy dane osoby upoważnionej są tożsame z danymi do faktury którą Portal wystawia.

4. Rozporządzenie

Rozporządzenie nakłada na administratora danych (także na podmiot realizujący jego obowiązki) prowadzenie (w formie pisemnej) następującej dokumentacji:

4.1. Polityka bezpieczeństwa

4.2. Instrukcja zarządzania systemem informatycznym

Z definicji w rozporządzeniu wynika, że dla danych Portalu obowiązuje wysoki poziom bezpieczeństwa. Aplikacja tego poziomu opisana jest w sekcji "Załącznik".

4.3. Wymagania zdefiniowane w pkt 7 Rozporządzenia

5. Załącznik

Załącznik specyfikuje środki bezpieczeństwa używane na poziomie wysokim.