Przetwarzanie danych osobowych w Oktawave Będąc klientem Oktawave, nie musisz się martwić kwestiami związanymi z ochroną danych osobowych. Chmura obliczeniowa, którą wybrałeś, spełnia wszystkie restrykcyjne wymogi GIODO. Zobacz, jak dokładnie dbamy o politykę ochrony danych osobowych.
Podstawy Jeśli do przetwarzania danych osobowych klient wykorzystuje serwery dzierżawione od zewnętrznego usługodawcy, spełnienie wymagań ustawy w zakresie ochrony danych osobowych wymaga spełnienia pewnych warunków przez urządzenia, infrastrukturę i usługę dostarczaną przez takiego usługodawcę. Oznacza to, że klient przed wybraniem dostawcy chmury obliczeniowej powinien się upewnić, jak wygląda u niego kwestia spełnienia tych wymogów. Świadczona przez Oktawave usługa pozwala spełnić warunki Ustawy o Ochronie Danych Osobowych w zakresie infrastruktury, jej lokalizacji i fizycznej organizacji dostępu do serwerowni. Wymóg związany z lokalizacją stanowi główny problem większość światowych dostawców chmury. W obrębie infrastruktury Oktawave klient może przetwarzać dane osobowe. W związku z powyższym - celem zachowania zgodności z wszystkimi wymogami GIODO - klient zobowiązany jest do podpisania odrębnej umowy. Dla ułatwienia całego procesu podpisania umowy przygotowaliśmy poniższą instrukcję: https://kb.oktawave.com/knowledgebase/article/view/326/0/jak-podpisac-umowepowierzenia-danych-osobowych-zgodna-z-wymogami-giodo Żeby być w pełni zgodnym z obowiązującym prawem, klient powinien zarejestrować zbiór danych osobowych na stronie GIODO, a my ze swojej strony, jako że nie administrujemy danymi klientów, uzupełniamy jedynie załącznik dotyczący kwestii zabezpieczeń naszej serwerowni (spełnia ona wszystkie wymogi GIODO). Regulacje Umowy z dostawcami cloudcomputingu są umowami o świadczenie usług drogą elektroniczną, stąd też znajdzie do nich zastosowanie ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (dalej: ustawa o świadczeniu usług ). Jest to o tyle istotne, że przepisy ustawy o świadczeniu usług traktuje się jako lex specialis (prawo o większym stopniu szczegółowości należy stosować przed prawem ogólniejszym) w stosunku do ustawy o ochronie danych osobowych. W konsekwencji, ta ostatnia nie znajdzie zastosowania tam, gdzie ustawa o świadczeniu usług wprowadza odrębne lub dodatkowe uregulowania. W Regulaminie korzystania z usług świadczonych przez Oktawave, wyraźnie wskazuje się, że podanie przez użytkownika danych osobowych jest dobrowolne, jednakże konieczne do zawarcia i wykonania Umowy, a także jej rozliczenia. Powyższe uregulowanie jest zgodne z art. 18 ustawy o świadczeniu usług, w którym przewidziano, że usługodawca może przetwarzać wskazane w przepisie dane osobowe usługobiorcy niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między nimi. Do danych tych należy zaliczyć: nazwisko i imiona usługobiorcy, numer ewidencyjny PESEL lub - gdy ten numer nie został nadany - numer paszportu, dowodu osobistego lub innego dokumentu potwierdzającego tożsamość, adres zameldowania na pobyt stały, adres do korespondencji(jeżeli jest inny niż adres zameldowania na pobyt stały), dane służące do weryfikacji podpisu elektronicznego usługobiorcy oraz adresy elektroniczne usługobiorcy. Mając wszakże na uwadze zróżnicowany charakter usług, które mogą być świadczone drogą elektroniczną, powyższy katalog danych nie jest katalogiem zamkniętym, albowiem zgodnie z art. 18 ust. 2 ustawy o świadczeniu usług wcelu realizacji umów lub dokonania innej czynności prawnej z usługobiorcą, usługodawca może przetwarzać inne dane niezbędne ze względu na właściwość świadczonej usługi lub sposób jej rozliczenia. Kolejną kategorią danych, którą może przetwarzać usługodawca, są tzw. dane eksploatacyjne. Zgodnie z art. 18 ust. 5 ustawy o świadczeniu usług, usługodawca
może przetwarzać następujące dane charakteryzujące sposób korzystania przez usługobiorcę z usługi świadczonej drogą elektroniczną. 1. Oznaczenia identyfikujące usługobiorcę nadawane na podstawie danych, wymienionych powyżej, które są niezbędne do nawiązania, ukształtowania treści, zmiany lub rozwiązania stosunku prawnego między. 2. Oznaczenia identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, z którego korzystał usługobiorca. 3. Informacje o rozpoczęciu, zakończeniu oraz zakresie każdorazowego korzystania z usługi świadczonej drogą elektroniczną. 4. Informacje o skorzystaniu przez usługobiorcę z usług świadczonych drogą elektroniczną. Usługodawca może również przetwarzać za zgodą usługobiorcy i dla celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę inne dane dotyczące usługobiorcy, które nie są niezbędne do świadczenia usługi drogą elektroniczną. Po zakończeniu korzystania z usługi świadczonej drogą elektroniczną usługodawca nie może przetwarzać danych osobowych usługobiorcy - z pewnymi wszakże wyjątkami. Usługodawca może bowiem przetwarzać tylko te spośród danych określonych w art. 18 ustawy o świadczeniu usług, które są: 1. Niezbędne do rozliczenia usługi oraz dochodzenia roszczeń z tytułu płatności za korzystanie z usługi. 2. Niezbędne do celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców z przeznaczeniem wyników tych badań na potrzeby polepszenia jakości usług świadczonych przez usługodawcę, za zgodą usługobiorcy. 3. Niezbędne do wyjaśnienia okoliczności niedozwolonego korzystania z usługi. 4. Dopuszczone do przetwarzania na podstawie odrębnych ustaw lub umowy. Z powyższego wynika między innymi, że Oktawave może przetwarzać dane osobowe niezbędne do celów reklamy, badania rynku oraz zachowań i preferencji usługobiorców w zakresie wynikającym z wyżej wymienionej ustawy; w szczególności Oktawave wykorzystuje dane osobowe w celu przesyłania korespondencji e-mailowej (newslettery) do klientów, które dotyczą informacji o nowych usługach czy też promocjach, a które stanowią również reklamę. Ustawa o świadczeniu usług daje również usługodawcy prawo do przetwarzania danych osobowych w przypadku uzyskania przez usługodawcę wiadomości o korzystaniu przez usługobiorcę z usługi świadczonej drogą elektroniczną niezgodnie z regulaminem lub z obowiązującymi przepisami (niedozwolone korzystanie). W takim wypadku usługodawca może przetwarzać dane osobowe usługobiorcy w zakresie niezbędnym do ustalenia odpowiedzialności usługobiorcy, pod warunkiem że utrwali dla celów dowodowych fakt uzyskania oraz treść tych wiadomości. Zaleceń dla chmury brakuje Brak jest wyodrębnionego dokumentu stanowiącego tzw. Zalecenia Generalnego Inspektora Danych Osobowych dotyczących przetwarzania danych w chmurze obliczeniowej. Istnieje jednak dokument opracowany przez tzw. Grupę Roboczą Artykułu 29 - niezależny podmiot o charakterze doradczym, powołany na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (dalej: dyrektywa o ochronie danych osobowych), którego celem jest m.in. przyczynianie się do jednolitego stosowania dyrektywy we wszystkich państwach członkowskich, opiniowanie projektów unijnych aktów normatywnych z zakresu ochrony prywatności oraz wydawanie opinii w sprawie istniejącego poziomu ochrony danych osobowych. W dniu 1 lipca 2012 r. Grupa robocza Artykułu 29 przyjęła Opinię 5/2012 w sprawie przetwarzania danych w chmurze obliczeniowej (tzw. cloudcomputing) (WP 196) (dalej: Opinia). W Opinii określono zasady mające zastosowanie zarówno wobec administratorów, jak i przetwarzających, wynikające z dyrektywy o ochronie danych osobowych, takie jak
określenie i ograniczenie celu, usuwanie danych oraz środki techniczne i organizacyjne. W Opinii przedstawiono wytyczne dotyczące wymogów bezpieczeństwa, zarówno jako zabezpieczeń strukturalnych, jak i proceduralnych. Położono również szczególny nacisk na ustalenie zobowiązań w umowie, które powinny regulować relację między administratorem a przetwarzającym w tym zakresie. Nadto,przedstawiono zalecenia dla klientów usług w chmurze jako administratorów, dostawców usług w chmurze jako przetwarzających oraz Komisji Europejskiej w odniesieniu do przyszłych zmian europejskich ram prawnych ochrony danych. Jednocześnie, Berlińska Międzynarodowa Grupa Robocza ds. Ochrony Danych w Telekomunikacji przyjęła Memorandum z Sopotu w dniu 2 kwietnia 2012 r. W Memorandum zawarto analizę kwestii dotyczących ochrony danych i prywatności w przypadku przetwarzania danych w chmurze, a co ważne podkreślono, że tzw. cloudcomputing nie musi prowadzić do obniżenia standardów ochrony danych w porównaniu z tradycyjnym przetwarzaniem danych. Środki fizycznej ochrony infrastruktury Aby sprostać wymogom ciążącym na administratorze danych wynikających z ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tj. Dz.U. z 2002 r., Nr 101, poz. 926 z późn. zm.) - konieczne jest zarejestrowanie w Biurze Generalnego Inspektora Ochrony Danych Osobowych zbioru danych osobowych przechowywanych na infrastrukturze Oktawave. Do tego potrzebna jest informacja o środkach fizycznej ochrony infrastruktury (serwerów). W Oktawave prezentuje się ona następująco. Pomieszczenie zabezpieczone jest drzwiami o podwyższonej odporności ogniowej >= 30 min. W pomieszczeniu okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej. Pomieszczenia wyposażone są w system alarmowy przeciwwłamaniowy. Dostęp do pomieszczeń objęty jest systemem kontroli dostępu. Dostęp do pomieszczeń kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych. Dostęp do pomieszczeń jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony za pomocą systemu CCTV. Dostęp do pomieszczeń przez cała dobę jest nadzorowany przez służbę ochrony za pomocą CCTV. Pomieszczenia zabezpieczone są przed skutkami pożaru za pomocą systemu przeciwpożarowego. Streszczenie specyfikacji technicznej Oktawave Specyfikacja techniczna to obszerny, odrębny dokument, który można znaleźć w naszej Bazie Wiedzy. Tutaj przedstawiamy tylko te najistotniejsze informacje. Neutralność telekomunikacyjna, czyli możliwość przyłączenia się do wielu operatorów na jednakowych dla wszystkich zasadach i po jednakowych cenach dzięki Telco.Ring, możliwość kolokacji serwerów w jednym z największych punktów wymiany ruchu IP w Polsce, kluczowe elementy infrastruktury technicznej (powierzchnia kolokacyjna, energetyka, klimatyzacja, zewnętrzne łącza światłowodowe) zostały zaprojektowane pod kątem przyszłych wymogów szybko rozwijającego się rynku telekomunikacyjnego, redundantna i rozwojowa pętla światłowodowa łącząca najczęściej wykorzystywane węzły telekomunikacyjne w Warszawie, wyposażona w urządzenia DWDM pozwalające na wyprowadzenie łączy 10 Gb/s i 2,5 Gb/s w dowolnym węźle, zasilanie przez 2 x 8 MW (dwie niezależne linie średniego napięcia), zastosowane transformatory 6 x (2 x 1 600 kva). Do każdej szafy doprowadzone niezależne obwody zasilania gwarantowanego UPS 230 V / 400 V z niezależnych torów zasilających (redundancja 2N),
certyfikat systemu zarządzania bezpieczeństwem informacji ISO/IEC 27001:2005 wydany przez British StandardsInstitution, certyfikat systemu zarządzania jakością PN-EN ISO 9001:2009 wydany przez Polskie Centrum Badań i Certyfikacji, aranżacja serwerowni w układzie zimnych/ciepłych korytarzy, system detekcji pożaru w oparciu o czujniki multisensorowe optycznotemperaturowe oraz system wczesnej detekcji dymu.