- Home
- Categorie
- Impresa, Fisco e Leggi
- Consulenza Legale e Professioni Web
- Documento programmatico sulla sicurezza
-
Documento programmatico sulla sicurezza
Ciao a tutti
fino ad oggi la questione DPS per alcuni miei clienti è stata presa troppo alla leggera. Ora che hanno letto di sanzioni pesanti tutti tremano ed hanno paura di cadere in sanzioni pesanti. Ed ovviamente a chi triturano le ODP ?? A me !!Prendendo come esempio di un cliente che ha un atelier di abiti per gli sposi, sono costretti a redarre tale documento ??
La sua situazione:- sito web dove riceve le richieste d'informazioni
- negozio fisico dove ovviamente vengono presi i dati dei clienti per l'acquisto, modifica degli abiti. Questi dati sono presi dal titolare e dalle commesse
- accesso ai diversi PC solo dal titolare
- contabilità interna
Ho saputo che per essere in regola con il DPS bisogna adottare alcuni sistemi di sicurezza ad esempio impostazione della password con alcuni criteri, sistema di backup e ripristino (so che deve essere presente un sistema per dimostrare che tutti funzioni correttamente) ... altro non so..
Sapete darmi maggiori informazioni ??
Grazie
-
Ciao Seven,
il DPS deve essere redatto da professionisti, enti od aziende che archiviano tramite computer o comunque modalità digitali dati personali dei loro clienti.
Dare indicazioni per la redazione del DPS in tale sede credo sia improponibile, per cui ti invio al sito del Garante per la privacy.
-
Ciao bsaett,
scusami per il ritardo della risposta e dei ringraziamenti, ma non ho avuto molto tempo per seguire il forum.Ho parlato con il cliente è la Sua situazione è questa:
- 2 PC per leggere la posta e rispondere ai clienti
- 1 PC per la fatturazione quindi per gestire le fatture ai clienti e le fatture dei fornitori
Le buste paghe dei dipendenti non vengono gestite dal cliente ma dal commercialista, che ovviamente di DPS non ne sa nulla.
Quello che volevo sapere in questo momento è quali accorgimenti prendere per essere in regola con la legge, perchè ho provato a trovare delle risorse in rete, ma non ho trovato nulla che spiegasse bene le precauzioni da prendere. La mia paura è sorta quando ho sentito, anche se non ho ben capito, delle persone parlare di password registrate e imbustate o di sistemi di backup specifici.
Ripeto ho un pò di confusione perchè ho sentito parlare delle persone che forse non avevano tanto ben chiara la situazione e le richieste del garante della privacy.
Per il documento vedrò di affidarmi a qualcuno competente, in tal caso potresti indicarmi tu stesso qualcuno di fidato.
Grazie.
-
Ciao bsaett,
scusami per il ritardo della risposta e dei ringraziamenti, ma non ho avuto molto tempo per seguire il forum.Ho parlato con il cliente è la Sua situazione è questa:
- 2 PC per leggere la posta e rispondere ai clienti
- 1 PC per la fatturazione quindi per gestire le fatture ai clienti e le fatture dei fornitori
Le buste paghe dei dipendenti non vengono gestite dal cliente ma dal commercialista, che ovviamente di DPS non ne sa nulla.
Quello che volevo sapere in questo momento è quali accorgimenti prendere per essere in regola con la legge, perchè ho provato a trovare delle risorse in rete, ma non ho trovato nulla che spiegasse bene le precauzioni da prendere. La mia paura è sorta quando ho sentito, anche se non ho ben capito, delle persone parlare di password registrate e imbustate o di sistemi di backup specifici.
Ripeto ho un pò di confusione perchè ho sentito parlare delle persone che forse non avevano tanto ben chiara la situazione e le richieste del garante della privacy.
Per il documento vedrò di affidarmi a qualcuno competente, in tal caso potresti indicarmi tu stesso qualcuno di fidato.
Grazie.
-
Finalmente ho trovato una risorsa chiara e completa.
Se interessa a qualcuno è qui
hostingservizi.it/privacy/Privacy_in_Pratica.pdfAlla pagina 40 di questa guida viene riportato quanto segue
Il documento programmatico della sicurezza si rende obbligatorio nel caso di trattamento di dati sensibili o giudiziari attraverso gli strumenti elettronici, ma è fortemente consigliato anche in assenza di obbligo (articolo 34 comma 1g).
Quindi mi pare di capire che il mio cliente, non trattando dati sensibili, non è obbligato a redarre il DPS. Giusto ?A questo punto è tenuto a redarre qualche documento o dichiarazione per quanto riguarda il trattamento dei dati personali provenienti dalle richieste per email ?
Deve dichiarare, oltre sulla form di richiesta d'informazioni presente sul proprio sito web, anche con una documentazione cartacea chi è il titolare del trattamento dei dati personali ?
Mille grazie.
-
Ciao Seven,
l'adozione del DPS è obbligatoria per professionisti, enti o aziende che trattano dati personali (anche sensibili) a mezzo di strumenti elettronici.
A mio parere il tuo cliente rientra nell'obbligo in questione. Ovviamente è sempre utile chiedere un secondo parere a qualche esperto della materia.
Per quanto riguarda le modalità di compilazione del DPS si possono trovare numerose guide online, anche sul sito del Garante.
-
Ciao
penso di aver chiarito alcuni punti e avere ora un pò di idee più chiareMa cosa accade se le aziende gli anni precedenti ad un eventuale controllo non hanno mai fatto nulla ?
Cmq il DPS penso che sia obbligatorio anche per quelle aziende che tranno dati personali anche a livello cartaceo e sono convinto che moltissime aziende non sono in regola.
-
ops
-
Ciao criceto,
ti ringrazio per aver aggiornato la situazione autocertificazione.Ti mando un MP o una email per illustrarti la mia situazione così saprai effettuarmi una valutazione.
Ciao e grazie
-
Evitare di redarre il DPS mi sembra quasi impossibile, dato che la legge dice che tutte le aziende che trattano dati personali, anche se non sensibili, sono costrette a redarre il DPS.
Ora che si tratti di Autocertificazione, DPS semplificato o qualsiasi altra tipologia di DPS questa è un altra questione.Nel mio caso vorrei capire se posso fare un DPS semplificato, un Autocertificazione oppure se mi devo rivolgere ad uno specialista per redarre un documento più articolato.
In pratica io fornisco servizi di creazioni e posizionamento nei Mdr ai clienti. Inoltre sono proprietario di alcuni siti, unicamente da me gestiti, di diversa tipologia come ad esempio social network, directory, blog, comparatore di prezzi, sito di vendita online, ecc
Per tutti le tipologie di siti vengono visualizzati, tramite software di statistiche, gli accessi ai diversi siti.
Per alcuni servizi rivendo della pubblicità dove fornisco al cliente un' area riservata dove poter consultare i click ricevuti e qui vengono forniti indirizzi IP e conteggio dei click.Alcuni dei miei siti sono hostati su un server a noleggio da me gestito, mentre altri sono gestiti dai provider tipo Aruba.
Ho alcune collaborazioni d'affiliazione con alcune aziende tipo Ebay e Zanox per la pubblicazione, diciamo, dei loro prodotti sui miei siti.
Gestendo siti di qualche cliente vengo fornito dei dati FTP ed eventuali dati per l'accesso ai database.
Tramite software gestisco le fatture emesse.
Secondo voi basterebbe una sorta di autocertificazione non trattando dati sensibili ?
Quali accorgimenti, richiesti dalla legge, dovrei prendere a livello di sicurezza ?
Devo prendere dei provvedimenti per il salvataggio delle informazioni che passano sui server ?Grazie mille
-
Ora è tutto più chiaro, rimango comunque in attesa di criceto o altre persone che mi possano dare maggiori certezze.
A questo punto compilo l'autocertificazione.
L'autocertificazione deve riportare data certa ?Grazie per i chiarimenti
-
Scusami dopo posso trovare tutta la documentazione dell'autocertificazione e relativi allegati ?
Grazie