Piotr Krzeminiewski brak
konto usunięte
Grzegorz
Krzemiński
600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...
Wojciech
Ciesielski
Kierownik działu
Administracji i IT
Grzegorz
Krzemiński
600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...
Piotr Krzeminiewski brak
Grzegorz K.:
Skąd założenie, że poza UK? Google jest z Irlandii. W samy UK są mocne serwerownie, nie jestem przekonany czy tak chętnie wyjdą poza EOG z serwerami, patrząc przez pryzmat dostępności, szybkości etc. Jednak to w Europie jest mocna sieć więc i dostępność i niezawodność. Poza tym jeśli juz to typuję USA a tam bardzo często firmy spełniają wymagania umowy safe harbour - bo im się to po prostu opłaca.
Przy czym proszę zwrócić uwagę na wymagania dla bezpieczeństwa serwerowni w USA i w Europie. Naprawdę - specjalista od bezpieczeństwa ma niezły ubaw, jak to w wielu przypadkach nie może skorzystać (tak od ręki, bo może) z mocnych serwerowni, super zabezpieczonych, backupwanych Asigrą, tylko dlatego że jest w USA a nie w Europie.
Ubaw wynika z... braku wymagań w Europie dla serwerowni, a w USA jest szereg kryteriów i standardów ;-)
Natomiast co do chmury, bo pewnie chodzi o dostępność plików. Może warto jednak zainteresować się prywatnymi rozwiązaniami? Takie, które mają podobne funkcjonalności - synchronizację plików na serwerze, kompie i smart - np pydio (dawniej ajaxplorer) czy owncloud.
Michał
L.
Administrator
Bezpieczeństwa
Informacji
Grzegorz
Krzemiński
600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...
Rafał
Tochman
Specjalista ds.
ochrony danych
osobowych. Wspólnik
Safelo...
Rafał K.:A jeśli te dane zaszyfruję ;)?
1)
a) nie wiadomo gdzie serwery - pewnie poza UE jednak
b) regulamin: "„Przesyłając materiały w jakikolwiek sposób do Usług, użytkownik udziela firmie Google (…) licencji na wykorzystywanie, udostępnianie (…) tych materiałów (…). (…) Licencja pozostanie w mocy nawet wówczas, gdy użytkownik przestanie korzystać z Usług (…)” - czyli Ty te dane faktycznie im oddajesz.
Więc moim zdaniem nie da się tego zrobić w zgodzie z GIODO
konto usunięte
Rafał
Tochman
Specjalista ds.
ochrony danych
osobowych. Wspólnik
Safelo...
Beata M.:
[...]
Dane osobowe, które są zaszyfrowane to tak jak pisze Rafał dane osobowe - informacje tylko dla podmiotu, który będzie miał klucz by je odczytać, dla pozostałych podmiotów będą to tylko dane. Szyfrowanie jednak musi być skuteczne.
konto usunięte
Rafał T.:
... jak już ktoś chce trzymać dane w Dropboxach i innych Drive'ach, gdzie nie wiadomo co się z tymi danymi dzieje, to sugeruję zaszyfrować plik mocnym algorytmem i mocnym hasłem.
Rafał
Tochman
Specjalista ds.
ochrony danych
osobowych. Wspólnik
Safelo...
Robert B.:
Nie jestem tego taki pewien. Ustawa określa sposób dostępu do serwerów, którego to sposobu nie jesteś w stanie zagwarantować trzymając pliki "w google". Ustawa nie zwalania Ciebie z tego sposobu dostępu po zaszyfrowaniu plików.
konto usunięte
Rafał T.:
Robert B.:
Nie jestem tego taki pewien. Ustawa określa sposób dostępu do serwerów, którego to sposobu nie jesteś w stanie zagwarantować trzymając pliki "w google". Ustawa nie zwalania Ciebie z tego sposobu dostępu po zaszyfrowaniu plików.
A jakie konkretnie zapisy Ustawy masz na myśli?
Rafał
Tochman
Specjalista ds.
ochrony danych
osobowych. Wspólnik
Safelo...
Robert B.:
A jakie konkretnie zapisy Ustawy masz na myśli?
Znaczy - mam zacytować całą UODO aby pokazać, że nigdzie nie ma wzmianki o tym, że zaszyfrowane dane mogą leżeć gdziekolwiek ? Bo nie bardzo rozumiem o jakie konkretne zapisy ustawy pytasz.
konto usunięte
Rafał T.:
Robert B.:
A jakie konkretnie zapisy Ustawy masz na myśli?
Znaczy - mam zacytować całą UODO aby pokazać, że nigdzie nie ma wzmianki o tym, że zaszyfrowane dane mogą leżeć gdziekolwiek ? Bo nie bardzo rozumiem o jakie konkretne zapisy ustawy pytasz.
Pytam o konkretne zapisy w których "Ustawa określa sposób dostępu do serwerów".
Art. 52.
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia
ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub
zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do roku.p
2. środki sprzętowe, infrastruktury informatycznej i telekomunikacyjnej
... określić typ, standard sprzętu wykorzystywanego w ramach systemu informatycznego służącego do przetwarzania danych osobowych (komputery, sieci, routery, huby, sprzętowe szyfratory do szyfrowania dysków...
Rafał
Tochman
Specjalista ds.
ochrony danych
osobowych. Wspólnik
Safelo...
Robert B.:
Czy ten zapis wystarczy ?
Art. 52.
Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia
ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub
zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do roku.p
Jak chronić się "przed zabraniem przez osobę nieuprawnioną, uszkodzeniem" proszę poszukać interpretacji.
[edyta]
Proszę poszukać hasła "środki ochrony fizycznej danych osobowych".
konto usunięte
Rafał T.:
... Danymi osobowymi jest on dla nas (po odszyfrowaniu), a nie dla świadczącego usługę.
Rafał
Tochman
Specjalista ds.
ochrony danych
osobowych. Wspólnik
Safelo...
Robert B.:
Rafał T.:
... Danymi osobowymi jest on dla nas (po odszyfrowaniu), a nie dla świadczącego usługę.
Uważam, że jest to Twoja nadinterpretacja. Szyfrowanie jest tylko środkiem ochrony, który nie zwalania z ustawy. Dziękuję, że pozwoliłeś mnie się w tym utwierdzić ;)
p.s.
Może edytowane we wcześniejszym poście dodatkowe informacje doprowadzą Ciebie do zmiany poglądu a jeśli nie to co stoi na przeszkodzie abyś zapytał GIODO ?
konto usunięte
Następna dyskusja:
пропозиції роботи
