Wykupując usługi, takie jak hosting, zazwyczaj skupiamy się na cenie oraz parametrach technicznych. Rzadko kwestie bezpieczeństwa i stabilności stawiamy na pierwszym miejscu, jako kryteria wyboru rozwiązań hostingowych, a właśnie te parametry mogą decydować o przetrwaniu biznesu. Poza tym prawo wymaga utrzymania pewnego poziomu bezpieczeństwa przy przetwarzaniu danych osobowych.
System teleinformatyczny do przetwarzania danych – czym jest?
Dziś firmy w niemal każdej branży korzystają z usług chmurowych, systemów do współpracy zdalnej albo webowych narzędzi do obsługi klienta. To w praktyce oznacza, że różne dane osobowe mogą być przechowywane, nie tylko na komputerach w firmie, ale także na serwerach.
W ten sposób serwery stają się częścią systemu teleinformatycznego do przetwarzania danych. Zgodnie z art. 7 pkt 2a Ustawy o ochronie danych, pod pojęciem system informatyczny należy rozumieć zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji. W praktyce więc system ten tworzą zarówno komputery w firmie, jak i serwery.
Wobec systemów w takim rozumieniu stawiane są określone wymagania. Jakie? To reguluje Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych.
Kopie zapasowe a bezpieczeństwo
Wspomniane rozporządzenie określa trzy poziomy zabezpieczeń: podstawowy, podwyższony i wysoki. W praktyce wiele firm będzie dotyczył poziom wysoki, ponieważ stosuje się go wówczas, gdy przynajmniej jedno urządzenie systemu jest połączone z siecią publiczną, czyli ma bezpośrednie połączenie do Internetu. Jednak już na poziomie podstawowym stawiane są dość istotne wymagania.
Przykładowo istnieje obowiązek tworzenia kopii zapasowych danych, które to kopie muszą być przechowywane w bezpiecznym miejscu. Zazwyczaj liczymy na to, że firma hostingowa zadba o takie szczegóły, jednak w przypadku niektórych mniejszych firm zdarzały się sytuacje, w których dochodziło do dotkliwej utraty danych. Taki incydent to coś więcej niż tylko zaniedbanie prawne. Często oznacza to poważne problemy dla firmy, która np. straciła bazę aktualnych zamówień albo stałych klientów. Stąd nie warto polegać na “półprofesjonalnym” hostingu.
Rozporządzenie nakazuje również stosowanie systemu teleinformatycznego zabezpieczonego przed atakami i utratą danych spowodowaną awarią zasilania. Obszar, w którym przetwarzane są dane osobowe, musi być zabezpieczony przed dostępem osób nieuprawnionych. Konieczne jest także stosowanie mechanizmu kontroli dostępu do danych. Jeśli trzeba wyrzucić lub naprawić dysk z danymi, musi się to odbyć w bezpieczny i kontrolowany sposób.
Mówiąc krótko – musimy korzystać z usług takiego hostingodawcy, który gwarantuje naszym danym i swoim serwerom jak najlepszą ochronę. To jednak nie wszystko. Trzeba zadbać także o pewne kwestie formalne, a wiarygodna firma hostingowa jest w stanie w tym pomóc.
Umowa powierzenia
Koniecznie trzeba zawrzeć z firmą hostingową tzw. umowę powierzenia. Zgodnie z art. 31 ust. 1 Ustawy o ochronie danych osobowych, powierzenie przetwarzania musi być dokonane w formie umowy określającej m.in. zakres przetwarzania oraz zadania i obowiązki podmiotu, któremu przetwarzanie zostaje powierzone. Wynika z tego, że nie każda umowa hostingu może być uznana za umowę powierzenia! Zawarta umowa musi spełniać wymagania określone w art. 31 ustawy i niestety nie wszystkie podmioty na rynku oferują takie umowy.
Przypomnijmy raz jeszcze, że w rozumieniu prawa serwery hostingodawcy wchodzą w skład systemu teleinformatycznego do przetwarzania danych, a inną częścią tego systemu są komputery w firmie. Pomiędzy tymi dwoma częściami systemu jest sieć publiczna – Internet. Pamiętajmy, że dane przesyłane przez Internet powinny mieć zapewnioną integralność, dlatego niezbędne jest zastosowanie np. mechanizmu szyfrowania danych takiego jak protokół SSL.
Uważaj, co wybierasz
Jeśli zajrzycie do wspomnianego wyżej rozporządzenia, rzuci się wam w oczy jedna rzecz. Nie definiuje ono dokładnie, co musi być na komputerach, co na serwerach, jakiego typu oprogramowania używać itd. Te decyzje podejmuje tzw. administrator danych, czyli podmiot lub osoba zgłaszająca zbiór danych do GIODO i decydująca o celach i środkach przetwarzania danych.
Prawo nie narzuca administratorowi wielu szczegółowych rozwiązań, ale określa wymagania dla tych rozwiązań. Nie jest więc ważne, czy np. dane zapasowe są przechowywane po stronie serwera, czy w firmie. Kopie zapasowe mają być wykonane i kropka. W praktyce administrator danych musi polegać na tym, że hostingodawca zrobi wszystko zgodnie z prawem. To oznacza, że wybór odpowiedniej firmy hostingowej tak dla spokojnego snu, jak i ciągłości naszego biznesu jest niezwykle ważny.
Wpis powstał we współpracy z firmą OVH