Prosty CRUD - jak go dobrze zabezpieczyć

0

https://www.rodokontrola.pl/umowy-powierzenia-danych-osobowych-a-odpowiedzialnosc-administratora-danych-jak-przeprowadzic-audyt-podmiotu-przetwarzajacego/

Powierzenie danych osobowych specjalistycznej firmie nie chroni przedsiębiorców przed odpowiedzialnością prawną w przypadku ich nieautoryzowanego udostępnienia. Do takiego wniosku doszedł Sąd Najwyższy (wyrok SN z 1 czerwca 2017 r., sygn. akt I CSK 597/16). Sąd uznał, że firma telekomunikacyjna (administrator) ponosi odpowiedzialność za błędy i naruszenia zewnętrznego call ceneter.

https://www.prawo.pl/prawnicy-sady/powierzanie-cennych-informacji-podwykonawcy-musi-byc-pod-kontrola,72351.html

Podczas powierzania danych najistotniejszym aspektem jest ich zabezpieczenie. Odpowiedzialność za nadzór nad podwykonawcami spoczywa przede wszystkim na osobie, która z ich usług korzysta. Czy to w przypadku usługi kadrowo-płacowej, czy powierzania danych w środowisku wirtualnym, np. korzystając z popularnej chmury.
[...]
Administratorzy danych mogą oczekiwać od dostawców oprogramowania, żeby ich produkty spełniały wymagania RODO. Całkowitej odpowiedzialności administrator nigdy nie przeniesie na dostawcę technologii, ale wykorzystanie chmury przenosi jej część na dostawcę usługi, a samemu administratorowi w znaczący sposób ułatwia życie

Także chyba obaj mamy rację. Bo z jednej strony - tak czy siak, to Ty odpowiadasz za wyciek, ale z drugiej strony - mając mocne papiery, że powierzyłeś dane "porządnej" firmie masz mocną kartę do negocjowania niskiego wymiaru kary ;)

5

Wiesz, ty masz problem nie programistyczny a prawny. Jedyne rozwiązanie jakie widzę to zbierasz wszystkie umowy i regulaminy - swoje i kontrahentów i udajesz się z nimi do prawnika. Dopiero on Ci klaruje sytuacje. Nie wiedzę sensu przerzucać się ciekawymi historyjkami, a sąd i tak orzeknie po swojemu.

0

Nie rozwiąże tego problemu napisanie po prostu apki desktopowej?

0

@Pazura: a niby jak miało by to rozwiązać problem?

1

100 tysięcy zł kary dla zlecającego usługę - do zapoznania się dla tych, którym się wydaje, że wystarczy "zlecić i odowiedzialnośc z głowy".
Podmiot państwowy - szkolnictwo - został ukarany za wybranie nieodpowiedzialnego usługodawcy.
100 tys. zł kary za lekkomyś...

UODO poinformował o nałożeniu kary 100 tys. zł na KSSiP, choć mogło się wydawać, że błąd był tylko po stronie podmiotu przetwarzającego dane osobowe.
Zdaniem Urzędu Ochrony Danych szkoła nie zastosowała odpowiednich środków technicznych i organizacyjnych, które pozwoliłyby zapewnić poufność przetwarzania danych. Nie testowano i nie szacowano skuteczności środków technicznych i organizacyjnych, które miały służyć bezpieczeństwu. Nie uwzględniono ryzyka jakie wiązało się z przetwarzaniem takich danych.
Podmiot przetwarzający nie zostanie ukarany.

1

@AngryProgrammer: zgłoś się do prawnika, gość mocno nam pomagał w podobnym temacie i dobrze kuma IT https://www.kulickikancelaria.pl

1
AngryProgrammer napisał(a):

Czy atak i wyciek danych osobowych z aplikacji, która ma 100~ użytkowników jest realny? Druga sprawa, co jeszcze zrobić by móc spać spokojnie?

Wyciek danych (plik Excel) p...

Pracownik (przeszkolony, dopuszczony do informacji niejawnych i co tam jeszcze jest wymagane) niefrasobliwie wrzucił sobie niezabezpieczony arkusz kalkulacyjny z peselami, adresami, nazwiskami policji i innych służb.

Jaką masz OPie gwarancję, że twój klient nie zrobi jakiegoś głupiego wycieku danych (np. z jego Worda) za które ty, twórca aplikacji odpowiesz?
Może wśród tej setki użytkowników twojego programu znajdzie się jeden funkcjonariusz pis i pokazowo trzeba będzie poszukać kozła ofiarnego?

Ps

Jak można "ugryźć" temat i zadać pytania pokazał poseł Brejza - do zastanowienia się i refleksji zwolennikom "porad prawnych w internecie". Dobrze jest dopóki jeden raz na tysiąc przypadków nie zrobi się afera.

*W związku z wyciekiem danych senator Krzysztof Brejza przesłał pilną interwencję do wicepremiera Jarosława Kaczyńskiego. W trybie interwencji senatorskiej (wnosząc o rozpoznanie wniosku w ustawowym, czternastodniowym terminie)" Brejza zwrócił się z wnioskiem o odpowiedź na pytania:

  1. Co było powodem tak ogromnego wycieku i ujawnienia informacji o 20 000 funkcjonariuszy różnych państwowych służb?
  2. Czy wszczęto już audyt w tej sprawie – jakie są ustalenia?
  3. Kto odpowiada za przechowywanie tych danych osobowych i doprowadzenie do ujawnienia danych 20 000 funkcjonariuszy policji, straży i innych instytucji państwowych?
  4. Czy w ujawnionych danych są dane wrażliwe w rozumieniu art. 9 RODO?
  5. Ile osób zostało potencjalnie pokrzywdzonych?
  6. Czy o tym wycieku został już zawiadomiony prezes Urzędu Ochrony Danych Osobowych – jeśli tak to czy UODO wszczął kontrolę?"
    Senator wystąpił również z wnioskiem o kontrolę przez prezesa UODO.*

1 użytkowników online, w tym zalogowanych: 0, gości: 1