Tomasz Pawłowski prawnik
Temat: Rejestracja zbiorów w GIODO - mały problem interpretacyjny
Witam,Niebawem zacznę prowadzić portal Internetowy stworzyłem już prawie politykę bezpieczeństwa i instrukcję zarządzania syst. informatycznym, ale mam jeszcze drobne wątpliwości. Napisałem nawet do GIODO z prośbą o interpretację, ale dostałem dość lakoniczną i ogólną odpowiedź, że nadal nie wiem jak do tego podejść. A zapewne jak ktoś miał do czynienia z Infolinią GIODO to wie, że nie działa. :/
W każdym razie byłby bardzo wdzięczny gdyby ktoś mi podpowiedział te 3 sprawy:
1. Portal prowadzony jest z komputera/komputerów w domu (jak na razie) a serwer znajduje się gdzieś w Szczecinie podejrzewam. Mam umowę powierzenia przetwarzania danych osobowych. Czy w takim przypadku rejestruję zbiór danych prowadzony centralnie czy rozproszony? Gromadzone dane są na serwerze firmy hostingowej, ale na chociażby na pocztę będę otrzymywał maile z informacjami o osobach rejestrujących się na portalu. A więc czy jest to zbiór prowadzony w architekturze rozproszonej czy może za daleko sięgam, i ważne jest to gdzie jest głównie przechowywany i przetwarzany czyli serwer firmy hostingowej.
2. Druga sprawa to ile zbiorów powinienem zarejestrować. Na portalu rejestrować się będą osoby korzystające z forum, wystawiające komentarze (tutaj w zasadzie tylko e-mail, opcjonalnie miejscowość, wiek), osoby zamieszczające drobne ogłoszenia (e-mail, nr tel, miejscowość, opcjonalnie wiek, imie i nazwisko), osoby korzystające z formularza kontaktowego do firm (tutaj pracuję nad tym aby otrzymywać tylko info, że ktoś się odezwał do firmy, bez danych tel, e-mail, imie i nazwisko, ale niewykluczone, że otrzymam te informacje też). GIODO odpowiedziało mi, że "niewykluczone, że będzie Pan rejestrował nie jeden zbiór":/. Może wystarczy zarejestrowanie jednego zbioru, jako grupa osób korzystająca z usług portalu?
3. W rozporządzeniu MSWiA w spawie warunków technicznych ... itd, określone są wymagania jakie należy spełnić to przy laptopie należy: ""administrator stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych" a przy poziomie wysokim "Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej". Czy to oznacza, że powinienem zaszyfrować wszystkie dyski komputera programem szyfrującym typu TrueCrypt, czy w tym drugim przypadku chodzi o szyfrowanie logowań certyfikatem SSL, też TrueCrypt? Czy w ogóle o coś innego, a bez wiedzy informatycznej tego nie rozumiem?
Zastanawiam się, czy nie podszedłem do tego zbyt poważnie. Obejrzałem jak mają zarejestrowane zbiory podobne portale, a nawet można obejrzeć niekiedy ich politykę bezpieczeństwa to .... ho ho. Zwykle jest to baza pn. Osoby korzystające z usług portalu, cel to: Zapewnienie funkcjonowania osób na portalu xxxx. A również mają różne kategorie osób rejestrujących się.
Dzięki wielkie za jakąś podpowiedź.