Skocz do zawartości
Gość Kamikadze

Dane na serwerze vs GIODO

Polecane posty

Gość Kamikadze

Może ktoś z doświadczeniem mi podpowiedzieć czy stawiając system CRM na serwerze WWW / VPS na którym będą dane osobowe (podstawowe dane + CV) trzeba podpisywać jakąś umowę z GIODO? Robi to hosting czy administrator systemu?

 

Generalnie jak to ma się odbywać.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Do GIODO trzeba zgłosić przetwarzanie danych osobowych albo przez zgłoszenie samego zbioru danych albo przez mianowanie kogoś w firmie ABI. Z GIODO nie podpisujesz żadnej umowy.

 

Z firmą, której powierzasz dane osobowe, możesz podpisać umowę o powierzeniu danych i wskazać ją w zgłoszeniu do GIODO. To najprawdopodobniej nie musi być żadna specjalna umowa. Wystarczy, że się gdzieś w swoim regulaminie zgodzą na powierzenie danych i zadeklarują, że będą się z nimi obchodzić zgodnie z prawem.

 

Ale prawa to ja nie kończyłem, więc pogooglaj, poczekaj na inne odpowiedzi.

Edytowano przez blfr (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Cześć.

 

To sprawa dość złożona i rozważyć musisz co najmniej 3 warstwy:

  1. Serwerową
  2. Aplikacyjną
  3. Organizacyjną

ad 1.

 

Zgodnie z Ustawą o ochronie danych osobowych:

Art. 31. 1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. A zatem musisz mieć z operatorem hostingu stosowną umowę powierzenia. Ponieważ zgodnie z ustawą taki podmiot może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie, dobrze jest określić zakres tych danych. W Ogicom stosujemy odpowiednie wzory umów powierzenia do tego celu, a nasi Klienci z powodzeniem przechodzą kontrole GIODO.

 

ad 2.

O wiele więcej roboty jest po stronie aplikacji. Poczytaj przepisy o przetwarzaniu danych z zachowaniem bezpieczeństwa na poziomie wysokim, są tam wymogi dot. złożoności i częstości zmieniania haseł, zabezpieczenia logowania itp.

 

ad 3.

Musisz zaprowadzić szczegółową dokumentację. Obojętnie, czy zgłosisz zbiór do GIODO, czy też nie - musisz stworzyć odpowiednią dokumentację, obejmującą m.in. politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym. Tego typu dokumentacja to podstawa w razie ewentualnej kontroli.

 

Pamiętaj - kontrola GIODO rzadko ograniczy się tylko do Twojego CRM'a - to jest kontrola całej firmy. Obejmie zatem także kadry, księgowość i wszelkie zbiory danych osobowych, jakie są stosowane w firmie. Dokumentacja powinna uwzględniać zatem nie tylko Twoje interakcje z firmą hostingową, ale także z innymi podmiotami, którym przekazujesz dane osobowe.

 

Powodzenia!

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×