BezpieczeństwoJak legalnie przetwarzać dane osobowe > redakcja Opublikowane 7 lutego 20110 0 167 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Nierespektowanie prawa o ochronie danych osobowych może narazić cię na wiele dotkliwych konsekwencji, włącznie z sankcjami karnymi. Obowiązujące przepisy restrykcyjnie określają wszystkie niezbędne kroki, jakie należy pokonać, aby rozpocząć przetwarzanie pozyskanych danych. Nie każdy jednak wie, jaką rolę pełni dostawca hostingu w zapewnieniu komfortu podczas kontroli GIODO.Pod czujnym okiem GIODOProwadzenie e-biznesu opartego na aktywnych działaniach pro-klienckich wymaga znajomości i respektowania ustawy o ochronie danych osobowych. Na staży bezpieczeństwa tych informacji stoi GIODO – Generalny Inspektor Ochrony Danych Osobowych. Jeżeli złamiesz regulacje zawarte w ustawie, zadaniem urzędu jest zawiadomienie organu ścigania o popełnieniu przestępstwa. I wcale nie trzeba celowo naruszyć obowiązujących przepisów, żeby narazić się na groźne, prawne konsekwencje.Dane osobowe w pigułceDanymi osobowymi są wszelkie te informacje, które identyfikują naszą osobę. Może to być imię, nazwisko, przypisane numery, a także dane o indywidualnych cechach. Bardziej ogólne informacje, np. numer domu czy wartość wynagrodzenia, stają się danymi dopiero w połączeniu z dodatkowymi informacjami. Przykładem pojedynczej informacji, stanowiącej daną osobową, jest numer PESEL. Z kolei nie może nią być samo imię, ponieważ nie umożliwia identyfikacji konkretnej osoby. Prowadząc e-biznes na pewno zastanawiasz się, czy adres e-mail stanowi daną osobową. Można to pokazać na prostym przykładzie – "poziomka123@wp.pl" to nie dana osobowa, ponieważ adres nie umożliwia identyfikacji jego posiadacza. Inaczej będzie w przypadku skrzynki "j.kowalski@ogicom.pl". Dlaczego? Ponieważ z adresu jasno wynika nazwisko użytkownika oraz firma, w której pracuje.Zgoda na przetwarzanie danych jest bardzo istotnym elementem determinującym legalność całego procesu. Nie istnieją szczegółowe zasady formułowania klauzuli zgody, jednak z jej tekstu powinno w sposób niebudzący wątpliwości wynikać, w jakim celu, w jakim zakresie i przez kogo dane osobowe będą przetwarzane. Wyrażający zgodę musi mieć pełną świadomość tego, na co się zgadza.Kto tworzy całą dokumentację?Jeżeli szukasz „hostingu zgodnego z GIODO” i uważasz temat za zakończony z chwilą aktywowania konta hostingowego – jesteś w dużym błędzie. To właśnie na tobie ciąży obowiązek przygotowania i prowadzenia tej dokumentacji. Tym bardziej warto starannie wybrać partnera, któremu powierzy się dane. Płacąc za dobry hosting – możesz jednocześnie kupić dobre doradztwo, a to bardzo ważny krok do spokojnego snu.Przykładowa klauzula dot. zapisania się na newsletter może brzmieć następująco:Wyrażam zgodę na przetwarzanie moich danych osobowych przez (nazwa firmy i adres siedziby) w celu otrzymywania drogą elektroniczną wiadomości na tematy związane z e-biznesem, takie jak: dobry hosting, rejestracja domen oraz serwery dedykowane. Oświadczam, że znam prawo do wglądu, zmiany i żądania zaprzestania przetwarzania swoich danych. Dane podaję dobrowolnie.Trudna praca administratora danychJednym z podstawowych zadań, jakie nakłada na administratora danych ustawa, jest konieczność rejestracji zbioru. Obowiązek ten nie obejmuje jednak danych, na przykład własnych pracowników, przetwarzanych w związku z ich zatrudnieniem. Aby dokonać rejestracji, należy wysłać odpowiedni wniosek do GIODO.Administrator czuwa nad bezpieczeństwem danych, chroni je przed udostępnieniem czy zabraniem przez osoby nieupoważnione, przetwarzaniem niezgodnie z ustawą oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Musi także prowadzić dokumentację opisującą sposób przetwarzania danych oraz podjęte środki bezpieczeństwa. Składa się na nią polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. Nad procesem przetwarzania czuwa Administrator Bezpieczeństwa Informacji.Administrator danych w rozumieniu przepisów nie ma nic wspólnego z administratorem serwera. Powierzając jakiejkolwiek firmie hostingowej utrzymanie danych nadal pozostajesz administratorem w rozumieniu ustawy i na tobie ciążą ustawowe obowiązki. W technicznym zakresie możesz zlecić ich wykonanie innemu podmiotowi podpisując tzw. umowę powierzenia.Wiele umów nie spełnia wymogów ustawy o ochronie danych osobowychAdministrator nie musi osobiście wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. Może skorzystać z usług wyspecjalizowanej firmy zewnętrznej. W tym celu zawiera się umowę powierzenia. Ustawa wymaga, aby umowa powierzenia zawarta była na piśmie oraz wyraźnie określała zakres i cel przetwarzania danych. Naturalnie, w takiej umowie administrator nie może przekazać zleceniobiorcy więcej praw, niż sam posiada. Jak ujawniają rozmowy prowadzone przez Ogicom z klientami, wiele umów proponowanych polskim przedsiębiorcom przez firmy hostingowe nie spełnia wymogów GIODO, zatem nie zawiera elementów wymienionych w ustawie. Znaczna część serwisów, choć przetwarza dane, nie zgłasza tego faktu do rejestru prowadzonego przez GIODO, ponieważ nikt im nie powiedział, że to warunek konieczny. – Na szczęście są wyjątki i w umowie podpisywanej z Ogicom znajdują się wszystkie wymagane przez ustawę elementy – dodaje dr inż. Artur Pajkert.Po czym poznać dobrą firmę hostingową?Wybierając dostawcę hostingu musisz zwrócić uwagę na dwa czynniki – musi być to firma, która nie tylko zgłosiła własne zbiory do GIODO, ale która (co dla ciebie najważniejsze) umożliwia zawarcie na piśmie umowy powierzenia przetwarzania danych osobowych. Tylko wówczas procedura będzie zgodna z prawem i gwarantowała przeniesienie odpowiedzialności wobec tych informacji z klienta na usługodawcę.Istotne jest także udostępnienie przez firmę hostingową opisu niezbędnego do przygotowania własnej polityki bezpieczeństwa. Można również prosić o udostępnienie wyników kontroli dokonywanych przez GIODO, jeżeli będą pozytywne będzie to kolejna gwarancja, że firma ta jest godną zaufania. Dobra firma hostingowa nie unika tematu ochrony danych osobowych, a jej pracownicy potrafią udzielić wszystkich niezbędnych w tym zakresie informacji.PodsumowanieChociaż przestrzeganie przepisów o ochronie i przetwarzaniu danych osobowych jest obowiązkiem każdego przedsiębiorcy prowadzącego biznes w Internecie, rola tego obszaru wciąż jest niedoceniana. Tylko prawidłowe zarządzanie danymi i prowadzenie odpowiedniej dokumentacji, zgodnie z przepisami o ochronie danych osobowych, pozwoli na spokojny sen, bez obaw o wyniki kontroli Generalnego Inspektora Ochrony Danych Osobowych.Źródło: Ogicom, www.ogicom.pl
