Повідомляємо, що всі послуги, які ми надаємо, відповідають вимогам закону від 29 серпня 1997 року про захист персональних даних. (консолідований текст: Законодавчий вісник 2002 р., № 101, поз. 926, з наступними змінами).
На вимогу Клієнта ми підтвердимо цей факт у формі заяви, що є додатком до Договору, разом з технічною специфікацією, необхідною для заповнення Додатку F декларації бази персональних даних.
У випадку, якщо необхідно підписати окремий договір відповідно до ст. 31. 1. закону, "Контролер даних може доручити обробку даних іншій особі за допомогою договору, укладеного в письмовій формі". ми будемо раді підготувати необхідний документ, адаптований до специфіки Сервісу.
Хочемо зазначити, що відповідно до Закону та керівних принципів GIODO, така угода повинна чітко визначати:
- Межі відповідальності,
- Мета обробки даних (у випадку хостингу та супутніх послуг це обмежується фактом підтримки колекції на технічних ресурсах, або зберіганням резервних копій, якщо Сервіс передбачає таку опцію)
У відповідь на часті запити про "сертифікат GIODO", ми хотіли б повідомити, що GIODO не видає таких сертифікатів, і якщо якась організація стверджує, що має такий сертифікат, то це явно неправда. У заяві GIODO йдеться про наступне:
"У зв'язку з посиланням деяких суб'єктів на наявність "сертифікату GIODO", Офіс Генерального інспектора з питань захисту персональних даних повідомляє, що Генеральний інспектор з питань захисту персональних даних, як і будь-який інший суб'єкт, не видає сертифікатів, наявність яких є умовою законності обробки даних. Тому можливі сертифікати, видані іншими суб'єктами, не є релевантними з точки зору допустимості обробки даних власником такого документа".
(джерело: http://www.giodo.gov.pl/560/id_art/2652/j/pl/)
Ми також хотіли б повідомити, що відповідно до рекомендацій GIODO (наведених нижче), проста оренда дискового простору, сервера в цілому або послуги хостингу не є "Дорученням на обробку даних", що не вимагає укладення окремої угоди. У такому випадку застосовуються положення про телекомунікаційну таємницю відповідно до Закону про телекомунікації, що містяться в ст. 159 та ст. 14 Закону від 18 липня 2002 року про надання електронних послуг.
Таким чином, Договір доручення обробки персональних даних укладається нами у випадку, коли характер придбаної послуги передбачає, що в результаті виконання послуги
DataHouse.Pl або його працівники
"повинні мати знання про тип даних, що обробляються в цій системі". Таким чином, це стосується послуг, поєднаних з послугами адміністрування серверів або додатків.
Якщо у вас виникли запитання або незрозумілі моменти, наш юридичний відділ буде радий надати необхідні роз'яснення. Будь ласка, не соромтеся звертатися до нас.
Настанови GIODO (джерело
http://www.giodo.gov.pl/) :
"Відповідно до частини 1 статті 31 Закону, доручення на обробку персональних даних має бути оформлене у вигляді договору, в якому зазначаються, зокрема, його обсяг, завдання та обов'язки суб'єкта, якому доручається обробка. Тому не кожен договір про надання послуг хостингу веб-сайту можна вважати договором про надання дозволу на обробку персональних даних. Ми будемо мати справу з ситуацією доручення обробки персональних даних лише тоді, коли укладений договір відповідає вимогам, визначеним статтею 31 Закону. Це означає, що він повинен бути укладений у письмовій формі та містити мету та обсяг обробки. Якщо послуга хостингу обмежується орендою серверного простору, обсяг обробки даних повинен принаймні включати зобов'язання щодо належного захисту оброблених даних від несанкціонованої зміни або знищення. Крім того, якщо замовник обробки не здійснює резервне копіювання оброблюваного набору даних на своєму підприємстві, це зобов'язання має виконуватися хостинговою компанією, що також повинно бути включено до договору.
Якщо суб'єкт, який надає систему (сервер), не знає про тип даних, що обробляються в системі, і йому не були довірені дані відповідно до статті 31 Закону, на нього поширюються положення статті 14 Закону від 18 липня 2002 року про надання електронних послуг, а його відповідальність за оброблені дані обмежується відповідно до статей 12-15 Закону".
У зв'язку з багатьма питаннями та неоднозначностями, спираючись на положення законів, судову практику та інтерпретацію офісу GIODO, ми хотіли б узагальнити відповідь на питання про те, коли необхідно підписати "Договір про довіру персональних даних".
Підписання угоди є необхідним :
Коли з характеру послуги, що надається постачальником, випливає, що він буде знати про дані, зібрані в системі.
- Адміністрування бази даних або програми для обробки даних.
- Адміністрування всієї операційної системи та додатків.
- Відновлення даних.
- Інше, наскільки це випливає з укладеного договору про надання послуг, що постачальник послуг повинен виконувати дії з персональними даними..
Підписання договору не є обов'язковим:
Якщо постачальник послуг надає лише апаратне забезпечення або системну платформу, а договір про надання послуг не визначає характер даних або не зобов'язує постачальника послуг вчиняти дії щодо них.
- Хостинг (без адміністрування)
- Виділений сервер (без адміністрування)
- Облікові записи Shell
- VPS сервер (без адміністрування)
Тобто, договір необхідний для того, щоб постачальник послуг міг здійснювати логічні та усвідомлені операції з зібраним файлом.
Крім того, зверніть увагу, що підписання "Договору про доручення на обробку персональних даних" не зменшує ні відповідальності, ні обов'язків "Розпорядника", який завжди, в силу Закону, залишається замовником.
Нижче ми наводимо цитату із запитань та відповідей, адресованих офісу GIODO, які є інтерпретацією офісу.
ПИТАННЯ ТА ВІДПОВІДІ
Відповідно до Закону, не потрібно реєструвати набори персональних даних, які слугують лише для обробки даних з метою виставлення рахунку-фактури. Чи звільняє цей виняток також контролера даних від обов'язку захищати дані в цій колекції?
Вимоги щодо безпеки систем реєстрації персональних даних, зазначені в статті 36 Закону, застосовуються до всіх систем реєстрації, в яких обробляються персональні дані. Обов'язок захисту даних не залежить від мети обробки, типу суб'єкта, який є адміністратором, а також від привілеїв, які включають, серед іншого, звільнення контролерів від обов'язку реєструвати певний тип баз персональних даних. Звільнення від обов'язку повідомляти систему обліку персональних даних про реєстрацію, яке стосується систем обліку, зазначених у частині 1 статті 43 Закону, не означає звільнення від інших зобов'язань, у тому числі щодо забезпечення безпеки даних, зазначених у статті 36 Закону.
Якщо я маю в базі даних дані клієнта, такі як ім'я, прізвище та адреса, і користувач А бачить його дані (наприклад, Ян Новак) при вході в систему, чи потрібно в журнал подій ("лог") системи вносити наступну інформацію: користувач А бачив дані клієнта об 11:11:12 23 липня 2006 року: Ян Новак?
Зобов'язання реєструвати інформацію про те, кому, коли, які дані та з якою метою були надані, згідно зі статтею 7(1)(4) Регламенту, поширюється лише на одержувачів даних. Користувач системи, який переглядає дані клієнта або клієнтів, який, відповідно до статті 7(6)(b) Закону, повинен бути особою, уповноваженою обробляти дані, не є одержувачем даних. Звідси слід зробити висновок, що Закон не накладає обов'язку фіксувати факт ознайомлення користувача системи з даними осіб, які зареєстровані в системі. Однак це не означає, що такий обов'язок, з метою суворого контролю за доступом до даних, не може бути встановлений іншими, окремими положеннями.
Якщо картотека розташована на комп'ютерній робочій станції, відокремленій від мережі, і тільки збір персональних даних здійснюється за допомогою телепередачі через Інтернет, чи потрібно застосовувати високий рівень безпеки до комп'ютера (комп'ютерної мережі), що використовується виключно для збору даних? Якщо збір персональних даних здійснюється електронною поштою, чи потрібен високий рівень захисту?
Відповідно до § 6(4) Регламенту, високий рівень безпеки повинен застосовуватися до комп'ютера або мережі, які підключені до публічної мережі. Той факт, що дані збираються через електронну пошту, яка не є внутрішньою електронною поштою, що функціонує лише в межах локальної комп'ютерної мережі, свідчить про те, що ця мережа і підключені до неї комп'ютери, в тому числі той, що отримує електронну пошту, підключені до загальнодоступної мережі. Тому цей комп'ютер повинен бути захищений на високому рівні. Слід також зазначити, що особисті анкети, які надсилаються електронною поштою, повинні бути захищені від розголошення стороннім особам - за допомогою відповідних криптографічних засобів.
Якщо до набору даних застосовується високий рівень захисту, а збір даних від зовнішніх сторін здійснюється за допомогою телепередачі через Інтернет, чи потрібно захищати процес передачі даних за допомогою зашифрованого з'єднання з використанням протоколу SSL? Чи впливає на застосування цього інструменту той факт, що обробляються конфіденційні дані?
Відповідно до статті 36 Закону, володілець даних зобов'язаний захищати дані, зокрема, від несанкціонованого розголошення. У разі передачі даних за допомогою телекомунікаційних засобів з використанням мережі загального користування, завжди існує ймовірність того, що неавторизована особа може перехопити передані дані. Існує також небезпека несанкціонованої модифікації, пошкодження або знищення. Тому необхідно застосовувати відповідні заходи для захисту даних, що передаються. Які саме заходи слід застосовувати, вирішує сам контролер даних. Це може бути протокол шифрування даних SSL, згаданий у запитанні, а також інші заходи криптографічного захисту, такі як шифрування з використанням електронної пошти та відкритого ключа одержувача.
Я відповідаю за створення документів, пов'язаних із Законом, у компанії, де працює близько 1 000 співробітників. Моє питання стосується двох пунктів, які повинні бути описані в політиці безпеки: "Перелік будівель, приміщень або частин приміщень, що утворюють зону, де обробляються персональні дані" та "Перелік баз персональних даних із зазначенням програм, що використовуються для обробки цих даних". Чи повинні вищезазначені пункти включати перелік усіх працівників, комп'ютерів та приміщень, де вводяться та змінюються персональні дані, чи достатньо вказати лише відділи/приміщення, де обробляються дані?
Документація, що становить політику безпеки, повинна містити, зокрема, перелік будівель, приміщень або частин приміщень, що становлять територію, де обробляються персональні дані, а також перелік систем зберігання персональних даних та зазначення програмного забезпечення, що використовується для обробки даних. Під переліком будівель, приміщень або частин приміщень, що становлять територію, на якій здійснюється обробка персональних даних, слід розуміти послідовне та однозначне перерахування місць, де здійснюється обробка персональних даних як у картотеках, що ведуться у звичайній (паперовій) формі, так і в електронних картотеках. Слід зазначити, що місцем, про яке йдеться вище, може бути як площа всієї будівлі або будівель, так і площа кількох окремих приміщень, або площа, що становить окрему частину певного приміщення. Наприклад, якщо уповноважена особа здійснює обробку персональних даних у всіх приміщеннях будівлі, то в переліку зони обробки даних, включеному в політику безпеки, може бути загальна інформація про те, що зоною обробки персональних даних є всі приміщення, розташовані в будівлі з певною адресою. Аналогічно, якщо обробка даних здійснюється в приміщеннях, що займають цілий поверх будівлі - тоді в переліку можуть бути описані всі приміщення, розташовані на даному поверсі будівлі із зазначеною адресою. Зазначення місця обробки даних в цілому - під яким розуміють приміщення, що становлять всю будівлю, обраний поверх будівлі тощо - можливе лише в тому випадку, якщо у всіх приміщеннях будівлі із зазначеною адресою. - можливе лише в тому випадку, якщо у всіх приміщеннях цієї місцевості суб'єкт здійснює обробку персональних даних. Перелік систем реєстрації персональних даних разом із зазначенням програмного забезпечення, що використовується для їх обробки, повинен містити інформацію про те, які сукупності персональних даних обробляються суб'єктом та за допомогою яких систем обробляються дані, що містяться в цих системах.
Чи стає компанія, яка надає послуги хостингу веб-сайтів (тобто орендує місце на сервері та надає послуги доступу до цих веб-сайтів з Інтернету), обробником персональних даних, якщо веб-сайт, на якому вона розміщена, має у своїй структурі персональні дані та механізми роботи з ними?
Відповідно до частини 1 статті 31 Закону, доручення на обробку персональних даних має бути оформлене у вигляді договору, в якому визначаються, серед іншого, його обсяг, завдання та обов'язки суб'єкта, якому доручається обробка, а також завдання та обов'язки суб'єкта, якому доручається обробка. Тому не кожен договір про надання послуг хостингу веб-сайту можна вважати договором про надання дозволу на обробку персональних даних. Ми будемо мати справу з ситуацією доручення обробки персональних даних лише тоді, коли укладений договір відповідає вимогам, визначеним статтею 31 Закону. Це означає, що він повинен бути укладений у письмовій формі та містити мету та обсяг обробки. Якщо послуга хостингу обмежується лише орендою серверного простору, обсяг обробки даних повинен принаймні включати зобов'язання щодо належного захисту оброблюваних даних від несанкціонованої зміни або знищення. Крім того, якщо замовник обробки не здійснює резервне копіювання оброблюваного набору даних на своєму підприємстві, це зобов'язання має виконуватися хостинговою компанією, що також повинно бути включено до договору.
Якщо суб'єкт, який надає систему (сервер), не знає про тип даних, що обробляються в системі, і йому не були довірені дані відповідно до статті 31 Закону, на нього поширюються положення статті 14 Закону від 18 липня 2002 року про надання електронних послуг, а його відповідальність за оброблені дані обмежується відповідно до статей 12-15 Закону.
Чи стає адміністратор сервера, на якому обробляються персональні дані в рамках надання послуг хостингу, автоматично адміністратором цих даних?
Зі статті 31(1) Закону випливає, що адміністратор може доручити виконання діяльності, пов'язаної з обробкою даних, у тому числі за допомогою комп'ютерної системи, іншому суб'єкту господарювання. Це може відбуватися на підставі укладеного письмового договору.
Суб'єкт, якому доручено обробку персональних даних, не стає адміністратором, однак він зобов'язаний до початку обробки вжити заходів безпеки, зазначених у статтях 36-39 Закону, та відповідати вимогам, визначеним у Регламенті до Закону. Суб'єкт несе таку ж відповідальність, як і контролер, за дотримання вищезазначених положень. Це, звичайно, не звільняє останнього від обов'язку нагляду за дотриманням положень Закону суб'єктом, якому він доручив обробку даних. Частина 4 статті 31 Закону прямо вказує, що відповідальність за дотримання положень цього Закону покладається на контролера даних, що не виключає відповідальності суб'єкта, з яким укладено договір, за обробку даних всупереч цьому договору. З наведених положень випливає, що як суб'єкт, який доручає обробку даних (контролер даних), так і суб'єкт, якому дані були довірені, зобов'язані дотримуватися положень про захист персональних даних. Однак саме контролер даних повинен вибрати таке ІТ-рішення (ІТ-систему), яке відповідає вимогам, що містяться в Законі та підзаконних нормативно-правових актах на його виконання. Це передбачає вибір постачальника послуг Інтернету, який пропонує ІТ-систему, що відповідає вимогам Закону. Слід також зазначити, що контролер даних, укладаючи договір про доручення обробки персональних даних з постачальником послуг Інтернету, впливає на зміст такого договору, і обов'язком контролера є включення в нього всіх аспектів, що стосуються захисту оброблюваних даних. У такому договорі суб'єкт, якому передається обробка персональних даних на аутсорсинг, повинен бути поінформований, перш за все, про те, що персональні дані будуть оброблятися на його серверах, і, отже, він бере на себе відповідальність, що випливає з вищезазначених положень. Однак може виникнути ситуація, коли суб'єкт, який надає систему (сервер), не знає про тип даних, що обробляються в системі (наприклад, у випадку з обліковим записом-оболонкою). У такому випадку на суб'єкта, який надає доступ до ресурсу ІТ-системи, поширюються положення статті 14 Закону від 18 липня 2002 року "Про надання послуг електронними засобами", а його відповідальність за оброблювані дані обмежується відповідно до статей 12-15 зазначеного Закону.
Отже, міркування про те, що контролер сервера, на якому надаються послуги хостингу, автоматично стає контролером персональних даних, є некоректним. Коли ми маємо справу з дорученням обробки даних у розумінні статті 31 Закону, що означає, що суб'єкт, який надає доступ до ІТ-інфраструктури, знає про характер оброблюваних даних, то на нього поширюються його положення в межах статей 36-39, навіть якщо він не є контролером персональних даних. З іншого боку, якщо суб'єкт, який надає систему, не знає про характер даних, що обробляються, на нього поширюються положення статей 12-15 Закону "Про надання електронних послуг".
Яка роль і відповідальність постачальника послуг хостингу, якщо в рамках своїх послуг хост обробляє файл персональних даних для власних цілей? Чи поняття ІТ-системи, згадане в Регламенті, та вимоги, яким повинна відповідати така система, застосовуються лише до тієї частини системи, яка використовується хостом?
Відповідно до ст. 7 п. 2а Закону, під поняттям "інформаційна система" слід розуміти сукупність взаємодіючих пристроїв, програм, процедур обробки інформації та програмних засобів, що використовуються з метою обробки даних. Таким чином, вважається, що персональні дані обробляються як в ІТ-системі приймаючої сторони, так і в ІТ-системі хостинг-провайдера. Процес телепередачі даних, що відбувається між цими системами, здійснюється з використанням інфраструктури ІКТ, що утворює мережу Інтернет загального користування. Під ІТ-системою хостинг-провайдера слід розуміти всі пристрої та програми, що дозволяють записувати, зчитувати, видаляти, зберігати персональні дані приймаючої сторони. Ця система також включає пристрої та програми, що захищають дані від наслідків збоїв в електропостачанні та роботи програмного забезпечення, призначеного для отримання несанкціонованого доступу до даних. Згідно з прийнятим визначенням, ІТ-система також включає процедури управління процесом обробки даних (процедури призначення прав на обробку даних, процедури створення резервних копій тощо). У зв'язку з тим, що між ІТ-системами хостинг-провайдера та хостинг-клієнта відбувається телепередача даних з використанням мережевої інфраструктури ІКТ, яка є частиною загальнодоступної мережі Інтернет, така телепередача - як один з елементів обробки даних - повинна забезпечувати цілісність, невідмовність та конфіденційність даних. Забезпечення такої телепередачі вимагає використання відповідного механізму шифрування даних, наприклад, захищеного протоколу SSL. Крім того, обидві взаємодіючі системи повинні бути належним чином захищені від загроз з боку публічної мережі - наприклад, шляхом використання спеціалізованих пристроїв, таких як брандмауери, пристрої для виявлення спроб несанкціонованого доступу, антивірусне програмне забезпечення, а також шляхом розробки та впровадження відповідних процедур управління.
Аналізуючи питання хостингу з точки зору ІТ, слід припустити, що ІТ-система для обробки даних складатиметься з двох частин, одна з яких буде на стороні хост-провайдера, а інша - на стороні хост-клієнта. Детальна специфікація окремих частин такої системи є індивідуальною для кожного окремого випадку. Також індивідуальним є розподіл завдань з точки зору забезпечення дотримання законодавства для даної системи, включаючи проблему забезпечення безпеки обробки даних та взаємної співпраці обох сторін. Тому слід враховувати, що як хостинг-провайдер, так і замовник хостингу повинні адаптувати свої ІТ-системи до умов, що вимагаються Регламентом. Що стосується ІТ-системи хостинг-провайдера, то умови, зазначені в Регламенті, повинні виконуватися, зокрема, тією частиною системи, яка використовується хостинг-провайдером, що обробляє персональні дані. Що стосується відносин між двома суб'єктами, слід зазначити, що умови, що стосуються системи хостинг-провайдера, а також технічні та організаційні заходи, які останній повинен застосовувати у зв'язку з обробкою персональних даних стороною, що приймає, повинні бути визначені та однозначно викладені в договорі між двома суб'єктами. Сторона, яка вирішує, чи можна користуватися послугами даного хостинг-провайдера, чи відповідає його система умовам, яким повинні відповідати системи, що використовуються для обробки персональних даних, є контролером персональних даних, який має намір користуватися такими послугами.
Сервер баз даних сам по собі є інформаційною системою. Припустимо, я зберігаю в ній персональні дані, наприклад, список з адресами людей. Виробники таких систем не передбачають вбудованих механізмів фіксації операцій над записами (entries) в окремих таблицях, таких як дата введення даних та ідентифікатор користувача, який вніс дані. Отже, можна зробити висновок, що така система не відповідає вимогам законодавства про персональні дані. Як тоді трактувати сукупність персональних даних, що містяться в базі даних, наприклад, таблицю з переліком адрес фізичних осіб? Як ставитися до самого сервера бази даних - додатку, який де-факто стає ІТ-системою?
Закон не визначає, які саме інформаційні технології повинні використовуватися при обробці персональних даних. Однак він зобов'язує їх володільця використовувати ІТ-системи, що відповідають його вимогам. Тому рішення про використання тієї чи іншої ІТ-системи для обробки персональних даних має визначатися відповідністю цієї системи застосовним положенням (Закону та Регламенту). Однак, звертаючись до ситуації, викладеної у запитанні, слід зазначити, що саме користувач завжди вирішує, які інформаційні поля з'являтимуться у створюваній базі даних. У будь-якій базі даних, де є можливість створити поле для імені особи, також можна створити поле для іншої необхідної інформації - такої як, наприклад, дата введення даних або ідентифікатор користувача особи, яка ввела дані. У багатьох базах даних можна також включити процедуру, яка автоматично виконує певний запис (наприклад, запис дати створення нового запису та імені користувача, який його вніс). З іншого боку, якщо одна з необхідних функцій відсутня в самій базі даних, така база даних не може використовуватися як окрема система для обробки персональних даних. Однак це не означає, що вона не може бути використана як компонент ІТ-системи, яка в поєднанні зі спеціальним програмним забезпеченням буде виконувати всі передбачені законом функції.
Чи можна вважати комп'ютерну систему, яка використовується для адресації конвертів, в яких надсилається інформація про поточну діяльність нашої установи (виставки, лекції тощо), системою "для обробки персональних даних, яка обмежується виключно редагуванням тексту з метою його письмового розповсюдження", як про це йдеться в п. 7 Регламенту? Персональні дані, які обробляються в цій системі, складаються з таких полів, як ім'я, посада, назва установи, адреса та поштовий індекс. Ці дані друкуються на конвертах, які потім надсилаються Польською поштою або розсилаються на адреси відповідних установ. Чи це єдиний спосіб використання цих даних?
Згідно з формулюванням § 7 Регламенту, виконання вимог, викладених у цьому пункті, не вимагається для систем реєстрації персональних даних, призначених для обробки персональних даних, що обмежуються лише редагуванням тексту з метою надання його в письмовій формі. Зазначені у запитанні ознаки ІТ-системи для "обробки персональних даних з метою адресації конвертів" не в повній мірі визначають характеристики цієї системи. У вищезазначеному описі не вказано, чи персональні дані, які обробляються в цій системі, негайно видаляються з цієї системи після їх використання (тобто після друку адресних даних на конвертах), чи вони продовжують зберігатися в цій системі після друку. Якщо персональні дані, оброблені у вищезгаданій системі, були негайно видалені після друку (як тільки була досягнута мета, з якою вони були введені), то збір слід вважати таким, що здійснювався виключно з метою редагування тексту, щоб зробити його доступним у письмовій формі. Якщо вищезгадана умова не виконується, то відповідна система зберігання повинна вважатися такою, що слугує лише для редагування тексту з метою його письмового розповсюдження, і повинна відповідати всім вимогам, зазначеним у § 7 (1) Регламенту.