PL EN DE
Najlepsze praktyki zarządzania usługami SAP

Dedykowana organizacja serwisowa SNP zapewnia jakość i ciągłość obsługi kontraktów SAP Managed Services. Pracujemy w oparciu o standardy ISO 20000 i ISO 27001. Posiadamy certyfikat PCoE - SAP Partner Center of Expertise.

SNP Poland to lider rynku usług SAP w Polsce.
Zapewniamy pełen zakres wdrożeń, rozwoju i utrzymania systemów SAP. Dostarczamy usługi bezpieczeństwa IT i rozwoju oprogramowania. Do 2017 roku działaliśmy jako BCC.

Jesteśmy częścią Grupy SNP – wiodącego światowego dostawcy rozwiązań do transformacji środowisk SAP.

Od 1995 roku zrealizowaliśmy z sukcesem setki projektów IT w Polsce i kilkudziesięciu innych krajach.

"Lepszy Biznes" to magazyn klientów SNP. Czytaj setki artykułów, przydatnych w przygotowaniu i realizacji projektów IT.

Nasi eksperci przedstawiają najciekawsze rozwiązania i nowości ze świata IT.

Zobacz archiwum nagrań z webinarów, zarejestruj się na kolejne edycje.

Dlaczego uważamy, że SNP Poland jest dobrym pracodawcą? Bo łączymy cechy rzadko spotykane w jednej organizacji - duże możliwości rozwoju, a zarazem dobrą atmosferę i elastyczność środowiska pracy. Dowiedz się więcej, na czym to polega w praktyce!

Hosting za granicą a ochrona danych osobowych

Outsourcing administratora bezpieczeństwa informacji

Udostępnij
Drukuj:
Wrażliwe dane osobowe pracowników i klientów w zewnętrznym centrum przetwarzania danych? To w wielu firmach standard. Dla polskich oddziałów międzynarodowych koncernów często oznacza to „eksport” danych do centrów zlokalizowanych poza granicami naszego kraju. Z prawnego punktu widzenia nie przeciwwskazań. Grunt, to zapewnić sobie fachowy nadzór nad bezpieczeństwem tych danych, np. w formie usługi outsourcingu administratora bezpieczeństwa informacji (ABI).
 

Zabezpieczenie danych przede wszystkim

Istotą hostingu jest możliwość korzystania z przestrzeni dyskowej i przechowywania danych na serwerze. Okoliczność ta jest wystarczająca, by zawierając kontrakt hostingowy, uwzględnić przepisy ustawy o ochronie danych osobowych. Sytuacja się komplikuje, jeśli zamierzamy powierzyć dane firmie utrzymującej serwery za granicą. Punktem wyjścia naszych rozważań powinna być odpowiedź na podstawowe pytanie, czy w świetle Ustawy o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (j.t. Dz. U. z 2014 r., poz. 1182 ze zm.) transfer danych osobowych poza granice naszego kraju jest dopuszczalny.

Od razu należy podkreślić, że najważniejsze jest odpowiednie zabezpieczenie danych osobowych. Miejsce siedziby podmiotu, który je przetwarza, lub forma prawna prowadzonej przez niego działalności mają drugorzędne znaczenie. Potwierdza to brak w ustawie jakichkolwiek dodatkowych warunków w wypadkach przekazywania danych osobowych do krajów Europejskiego Obszaru Gospodarczego (państwa członkowskie Unii Europejskiej oraz Islandia, Liechtenstein i Norwegia). Również przekazanie danych osobowych do państw trzecich, spoza EOG nie musi się wiązać z koniecznością spełnienia dodatkowych wymogów. Dopiero brak gwarancji należytego zabezpieczenia danych osobowych będzie wymagał podjęcia przez administratora danych osobowych (ADO) dalej idących czynności.

Nawet jeśli powierzamy dane osobowe do przechowywania podmiotowi z siedzibą w Polsce, którego serwery są zlokalizowane w granicach naszego kraju, będzie to dopuszczalne dopiero wówczas, gdy usługodawca spełni wymogi dotyczące zabezpieczenia danych osobowych wynikające z ustawy i Rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Analogiczna zasada ma zastosowanie w razie przekazywania danych osobowych poza granice Rzeczypospolitej Polskiej. Chociażby ustawodawstwo państwa docelowego zapewniało najwyższy poziom ochrony danych osobowych, to w każdym przypadku należy sprawdzić, czy właściciel serwera legitymuje się konkretnymi zabezpieczeniami gwarantującymi ochronę powierzonych mu danych osobowych.

Możliwość przekazania danych osobowych za granicę

Państwem trzecim w rozumieniu ustawy jest państwo nienależące do EOG. Regulacje dotyczące przekazywania danych osobowych do państwa trzeciego (art. 47 i 48 ustawy) mają zatem zastosowanie do transferu danych na terytorium pozostałych państw europejskich lub do krajów na innych kontynentach. Przechowywanie danych osobowych na serwerach zlokalizowanych w Stanach Zjednoczonych czy Kanadzie będzie musiało odbywać się z zachowaniem zasad określonych w przywołanych przepisach.

Wspomniane regulacje mają charakter postępujący. To znaczy, że w pierwszej kolejności ustawodawca normuje przypadki dozwolonego przekazywania danych osobowych do państw trzecich bez konieczności spełniania dodatkowych przesłanek, a następnie określa coraz dalej idące wymogi, które należy spełnić, aby transfer danych osobowych za granicę był w ogóle możliwy.

Przekazanie danych osobowych do państwa trzeciego jest zatem dozwolone bez dodatkowych obwarowań, jeśli państwo docelowe zapewnia na swoim terytorium odpowiedni poziom ochrony danych osobowych. Skąd jednak mamy wiedzieć, czy konkretne państwo zapewnia ochronę na wyższym albo choć takim samym poziomie jak Polska? Z jednej strony wskazuje się, iż ADO musi samodzielnie ocenić, czy państwo, do którego następuje przekazanie danych osobowych, zapewnia adekwatną ich ochronę, opierając się na kryteriach określonych w art. 47 ust. 1a ustawy (w szczególności znaczenie mają: charakter danych, cel i czas trwania przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia danych, przepisy prawa obowiązujące w danym państwie trzecim oraz stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe).

Z drugiej strony pewną pomocą mogą okazać się decyzje Komisji Europejskiej, wydane na podstawie art. 25 ust. 6 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 23.11.1995), mocą których stwierdza się, że określone państwo zapewnia odpowiedni stopień ochrony danych osobowych.

Oznacza to, że prawodawstwo danego państwa lub przyjęte przez nie zobowiązania międzynarodowe gwarantują ochronę danych na takim samym poziomie jaka jest zapewniona na terytorium Polski. Wspomniane decyzje Komisja Europejska wydała m.in. w odniesieniu do Argentyny, Kanady, USA, Szwajcarii. GIODO nie może zakwestionować legalności przekazania danych osobowych do jednego z państw, w stosunku do których została wydana przedmiotowa decyzja, o ile oczywiście w konkretnym przypadku zabezpieczenia te zostaną faktycznie zastosowane. Nie jest jednak tak, by decyzja Komisji Europejskiej była warunkiem konstytutywnym, decydującym o odpowiednim poziomie ochrony danych osobowych w państwie trzecim.

Również państwa trzecie, w stosunku do których przedmiotowa decyzja nie została wydana, a które zapewniają adekwatną ochronę danych osobowych, mogą być państwem docelowym przekazania danych osobowych, bez zakwestionowania legalności takiej operacji przez GIODO. Wówczas jednak wykazanie spełnienia tego podstawowego warunku, określonego w art. 47 ust. 1 ustawy, będzie obciążało ADO i może okazać się trudne do przeprowadzenia.

Sytuacja wygląda inaczej, jeśli państwo, do którego mają zostać przekazane dane osobowe, nie zapewnia ich odpowiedniej ochrony. W takich okolicznościach transfer danych za granicę będzie możliwy przede wszystkim, jeśli na ADO zostanie nałożony obowiązek ich przekazania wynikający z przepisów prawa lub postanowień ratyfikowanej umowy międzynarodowej (art. 47 ust. 2 ustawy). W większości przypadków będą to przepisy uprawniające różnego typu organy ścigania do uzyskania danych osobowych od podmiotów zagranicznych.

Dla podmiotów gospodarczych planujących przekazanie danych osobowych do państwa trzeciego większe znaczenie ma przepis art. 47 ust. 3 ustawy. Jeśli bowiem państwo docelowe nie zapewnia należytej ochrony danych osobowych, a transfer danych do tego państwa nie wynika z obowiązku nałożonego na ADO, to taka operacja będzie możliwa po spełnieniu jednej z przesłanek określonych w tym przepisie, tj.: (i) osoba, której dane dotyczą, udzieliła pisemnej zgody, (ii) przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie, (iii) przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem, (iv) przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych, (v) przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, (vi) dane są ogólnie dostępne.

Najbardziej wymagająca z punktu widzenia ADO jest sytuacja, w której transfer danych ma nastąpić do państwa trzeciego, które nie zapewnia należytej ochrony danych osobowych, ponadto nie zachodzi żadna z ww. okoliczności, a przekazanie danych osobowych do państwa trzeciego nie wynika z obowiązku nałożonego na ADO. Wówczas taki transfer będzie możliwy jedynie po uzyskaniu zgody GIODO, wyrażanej w drodze decyzji administracyjnej. Warunkiem wydania przedmiotowego zezwolenia jest zapewnienie przez ADO odpowiednich zabezpieczeń w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą.

Powyższe ograniczenia nie dotyczą przypadków, gdy ADO zapewnia należytą ochronę danych osób, których one dotyczą, poprzez stosowanie standardowych klauzul umownych ochrony danych osobowych, zatwierdzonych przez Komisję Europejską, lub wiążących reguł korporacyjnych, zatwierdzonych przez GIODO.

Hosting zagraniczny, pomimo że jest zjawiskiem stosunkowo nowym na polskim rynku usług i nie doczekał się jeszcze autonomicznych regulacji prawnych (tak jak kiedyś leasing), to jest dopuszczalny w świetle przepisów ustawy, a w określonych przypadkach również wtedy, gdy serwer jest zlokalizowany w państwie spoza EOG.

Warunki legalnego przekazania

Należy przy tym pamiętać, że samo teoretyczne zapewnienie odpowiedniej ochrony danych osobowych, wynikające np. z przepisów prawnych danego państwa, nie jest wystarczające, by mówić o zgodności z prawem przekazania danych osobowych do państwa trzeciego w konkretnym przypadku. Decydujące będzie w tym zakresie spełnienie wszystkich wymogów stawianych przez ustawę. Jakie zatem warunki muszą być spełnione? Przede wszystkim należy zawrzeć umowę powierzenia danych z właścicielem serwera. Taka konieczność wynika z definicji przetwarzania danych osobowych, którym – zgodnie z art. 7 pkt 2 ustawy – jest jakakolwiek operacja wykonywana na tych danych, a zatem również przechowywanie danych osobowych na serwerze zewnętrznej firmy.

Skoro zatem dane przetwarzane są przez inny podmiot niż ADO, to należy zawrzeć umowę o powierzeniu danych osobowych temu podmiotowi (art. 31 ustawy). W umowie, oprócz koniecznych elementów wskazanych w ustawie, powinny się znaleźć zapisy o zobowiązaniu do zachowania danych w tajemnicy, o roszczeniach regresowych i o możliwości kontroli, tj. sprawdzenia sposobu zabezpieczenia danych w miejscu przechowywania.

Konieczne jest ponadto, by ADO posiadał obowiązkową dokumentację ochrony danych osobowych, tj. polityki bezpieczeństwa i instrukcje zarządzania, oraz zabezpieczenia zapewniające ochronę przetwarzanych danych osobowych odpowiednie do zagrożeń i kategorii danych objętych ochroną. Taką samą dokumentację oraz odpowiednie zabezpieczenia gwarantujące ochroną danych osobowych przed wejściem w ich posiadanie przez osoby nieupoważnione, przed ich utratą, uszkodzeniem lub zniszczeniem, powinien posiadać hostingodawca.

Ważne, by rozwiązania przyjęte w Polityce bezpieczeństwa i Instrukcji zarządzania oraz stosowane zabezpieczenia były adekwatne do rodzaju przetwarzanych danych osobowych i ewentualnych zagrożeń oraz możliwe do wykonywania w praktyce. Nie chodzi jedynie o formalne spełnienie wymogów ustawowych, pozwalające legitymować się wykonaniem obowiązków w trakcie ewentualnej kontroli. Bezpieczeństwa przetwarzanych danych osobowych nie da się zagwarantować poprzez jednorazowe działanie. Rozwój technologiczny otwiera przed nami nowe możliwości, ale jednocześnie stwarza nowe zagrożenia. Ponosząc odpowiedzialność za dane osobowe własnych klientów, należy regularnie dbać o ich należyte zabezpieczenie i systematycznie unowocześniać stosowane środki ochrony.

Fachowa pomoc, outsourcing ABI

Aby mieć pewność, że spełniamy wszystkie warunki dozwolonego przekazywania danych osobowych za granicę, tj. w szczególności, że umowa powierzenia danych zostanie prawidłowo sporządzona, a miejsce docelowe przechowywania danych osobowych spełnia wymogi stawiane przez przepisy powszechnie obowiązującego prawa, najlepiej skorzystać z porady osób posiadających w tym zakresie specjalistyczną wiedzę. Kluczowe jest bowiem, by nasz kontrahent, a także właściwie miejsce lokalizacji jego serwera zapewniały należytą ochronę przechowywanych danych osobowych. Jeżeli w przedsiębiorstwie nie funkcjonuje Administrator Bezpieczeństwa Informacji, który mógłby ocenić przedmiotowe kwestie, to niezbędnego wsparcia z pewnością udzielą eksperci z zewnętrznych firm.

Skorzystanie z usług „zewnętrznego ABI” jest o tyle korzystne, że nie wymaga zmian organizacyjnych w przedsiębiorstwie, pozwala zaoszczędzić czas i zapewnia kompleksowe rozwiązanie w zakresie ochrony danych osobowych przez podmiot mający odpowiednią wiedzę i ponoszący odpowiedzialność cywilną za świadczoną usługą. Dla firm, dla których ochrona danych osobowych ich klientów jest szczególnie istotna, czy to z uwagi na charakter przetwarzanych danych osobowych, zagrożenia z tym związane, czy ze względów wizerunkowych, rekomendowany jest outsourcing funkcji ABI. Powierzając zewnętrznej firmie kompleksową obsługę przetwarzania danych osobowych, przedsiębiorca zyskuje system ochrony danych osobowych zorganizowany na najwyższym poziomie, gwarantujący spełnienie wszelkich wymogów prawnych, pewność że ewentualna kontrola inspektorów GIODO nie narazi go na żadne negatywne konsekwencje, a zagrożenia związane z utratą danych osobowych zostaną zminimalizowane.

Administrator Bezpieczeństwa Informacji sporządzi stosowną umowę powierzenia, oceni stan zabezpieczeń serwera pod kątem wymogów ustawy i rozporządzenia, zasugeruje rozwiązania gwarantujące wyższy poziom zabezpieczenia danych osobowych, przygotuje obowiązkową dokumentację ochrony danych osobowych i będzie prowadził rejestr zbiorów danych osobowych. Oceni również funkcjonowanie systemu ochrony danych osobowych w przedsiębiorstwie, zachowanie pracowników, zasugeruje rozwiązania w celu poprawy stanu ochrony danych osobowych, a także przeszkoli pracowników w zakresie ochrony danych osobowych. Dzięki temu nawet transfer danych poza granice Rzeczypospolitej Polskiej będzie bezpieczny i zgodny z wytycznymi ustawy i rozporządzenia.

Zakres odpowiedzialności ABI

Usługa outsourcingu ABI jest realizowana przez SNP. Poniżej przedstawiono podstawowe obszary odpowiedzialności, jakie może przejąć administrator bezpieczeństwa informacji w ramach usługi outsourcingu tej roli, oraz podział obowiązków i odpowiedzialności pomiędzy firmę klienta i SNP. Szczegółowy zakres zadań zostanie określony w umowie.

Aktualizacja oraz nadzór bieżącej dokumentacji z zakresu ochrony danych osobowych. Aktualizacja polityki bezpieczeństwa oraz dokumentów wymaganych ustawą o ochronie danych osobowych i wydanych na jej podstawie rozporządzeń, audytowanie przestrzegania polityki bezpieczeństwa. Klient na bieżąco prowadzi rejestr dokumentów objętych ustawą. Odpowiedzialność SNP: wizyty w organizacji, przegląd każdego dokumentu wymaganego ustawą lub aktami podrzędnymi min. raz w roku, ponadto dodatkowe wizyty ad hoc (w uzgodnionym terminie); definiowanie i aktualizacja wytycznych i wymagań w zakresie procedur wewnętrznych, a także szablonów upoważnień i formularzy, rejestrów i umów, które powinny być wypełniane w przypadku udostępniania danych zarówno podmiotom wewnętrznym, jak i zewnętrznym na podstawie powierzenia; opiniowanie umów z dostawcami i klientami co do standardów bezpieczeństwa.

Nadzorowanie (wydawanie zaleceń w tym zakresie) przeciwdziałania dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe. Audytowanie przestrzegania polityki bezpieczeństwa. Definiowanie zaleceń dla administratorów systemów. Kontrola i audytowanie przestrzegania zdefiniowanych i przyjętych w polityce bezpieczeństwa i innych dokumentach związanych z bezpieczeństwem informacji w systemach informatycznych standardów ochrony systemów.

Klient: raz w miesiącu przygotowanie zestawienia logów oraz rejestrów dostępu do systemów, w których przetwarzane są dane osobowe. SNP: podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń lub podejrzenia naruszenia. Klient: na bieżąco prowadzi rejestr incydentów w zakresie bezpieczeństwa. SNP: podjęcie działań w ciągu jednego dnia od zgłoszenia, w ciągu 10 dni roboczych przygotowanie raportu, m.in. z rekomendacją działań mających na celu zapobieżenie wykrytym lub podobnym incydentom.

Nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których przetwarzane są dane osobowe, oraz nadzór nad kontrolą przebywających w nich osób. Klient: raz w miesiącu przygotowuje zestawienia logów oraz rejestrów dostępu do pomieszczeń, w których przetwarzane są dane osobowe. SNP: analiza przygotowanych rejestrów, wydanie zaleceń oraz wytycznych.

Nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe. Analiza obecnego stanu procedur i dokumentacji dotyczących tego obszaru w oparciu o ustawę o ochronie danych osobowych oraz własne doświadczenia. Wydawanie na tej podstawie rozporządzeń oraz, o ile to zasadne, rekomendacji. Kontrola, czy ustalone reguły są przestrzegane. Klient na bieżąco prowadzi rejestr napraw, konserwacji oraz likwidacji urządzeń komputerowych, na których zapisane są dane osobowe. SNP: analiza przygotowanych rejestrów, wydawanie zaleceń oraz wytycznych.

Zarządzanie hasłami użytkowników, systemami antywirusowymi i ich procedurami. Klient przygotowuje aktualne procedury, rejestry logów. SNP: analiza obecnego stanu procedur i dokumentacji dotyczących tego obszaru w oparciu o ustawę o ochronie danych osobowych oraz własne doświadczenia. Wydawanie na tej podstawie rozporządzeń i rekomendacji. Audytowanie, czy ustalone reguły są przestrzegane.

Nadzór nad wykonywaniem i przechowywaniem kopii awaryjnych oraz okresowym sprawdzaniem pod kątem ich dalszej przydatności. Klient: na bieżąco prowadzi rejestr wykonywania kopii zapasowych, przygotowuje dokumenty związane z wykonywaniem kopii zapasowych (plan kopii, zapisy z testów itd.). SNP: analiza przygotowanych rejestrów, wydawanie zaleceń oraz wytycznych.

Nadzór nad obiegiem oraz przechowywaniem dokumentów zawierających dane osobowe. Klient na bieżąco prowadzi rejestr dokumentów objętych ustawą. SNP: nadzór nad obiegiem oraz przechowywaniem dokumentów zawierających dane osobowe poprzez obserwacje, wizyty u klienta, audyty.

Nadzór nad prawidłowością archiwizacji oraz usuwania danych osobowych. Klient na bieżąco prowadzi rejestr żądań związanych z archiwizacją oraz usuwaniem danych osobowych. SNP: analiza przygotowanych rejestrów, wydawanie zaleceń oraz wytycznych.

Monitorowanie funkcjonowania zabezpieczeń wdrożonych w celu ochrony danych osobowych. Klient przygotowuje aktualne procedury. SNP: monitorowanie poprzez obserwacje, wizyty u klienta, audyty.

Przeprowadzenie przynajmniej raz w roku audytu zakończonego raportem. W ramach usługi outsourcingu administratora bezpieczeństwa informacji SNP zobowiązuje się do przeprowadzenia audytów w każdym obszarze organizacji. SNP jako audytor weryfikuje poprawność działania standardów bezpieczeństwa informacji. W przypadku wykrytych przekroczeń zarząd organizacji zostaje powiadomiony o zaistniałej sytuacji. W gestii zarządu leży podjęcie konkretnych działań mających na celu przeciwdziałanie oraz karanie za wskazane w raporcie audytu odstępstwa i przekroczenia standardów bezpieczeństwa informacji.

Odpowiedzi na pytania klienta dotyczące zagadnień ochrony danych osobowych. Pytania zadają wyznaczeni do kontaktów z administratorem bezpieczeństwa informacji przedstawiciele klienta. Do tego celu klientowi zostanie udostępniona dedykowana aplikacja do obsługi serwisowej, w której dla każdego z przedstawicieli klienta zostanie utworzony tzw. użytkownik. Administrator Bezpieczeństwa Informacji jest zobowiązany w ustalonym w kontrakcie czasie przyjąć pytanie do analizy i udzielić na nie odpowiedzi maksymalnie w ciągu 14 dni roboczych (czas 14 dni jest czasem umożliwiającym uzyskanie odpowiedzi z GIODO lub kancelarii prawnej).

Podsumowanie

Dążąc do optymalizacji kosztów, często międzynarodowe koncerny decydują się na centralizację usług data center w jednej lub kilku lokalizacjach dla oddziałów na całym świecie. W takiej sytuacji – jeśli polski oddział nie ma możliwości wybrania dostawcy usług hostingu, dobrze wiedzieć, że hosting na serwerach zagranicznych jest dopuszczalny w świetle przepisów ustawy. Jeśli zaś ma miejsce w ramach EOG lub na terytorium państwa, które zapewnia odpowiednią ochronę danych osobowych, nie jest wymagane spełnienie żadnych dodatkowych wymogów. Uznaje się bowiem, że ochrona ta jest zapewniona na takim samym poziomie, jak na terytorium Rzeczypospolitej Polskiej. Nie trzeba wówczas wykazywać spełnienia dodatkowych przesłanek, w tym uzyskiwać pisemnej zgody osoby, której dane osobowe dotyczą, na ich przekazanie za granicę.

Niezbędne jest jednak przede wszystkim podpisanie z hostingodawcą umowy powierzenia danych osobowych, a także opracowanie i wdrożenie przez ADO oraz przez hostingodawcę Polityki bezpieczeństwa oraz Instrukcji zarządzania, a także odpowiednich zabezpieczeń.

Aby odpowiednio się zabezpieczyć, najlepiej skorzystać z usług zewnętrznej firmy zajmującej się zawodowo ochroną danych osobowych albo powierzyć jej kompleksową obsługę ochrony danych osobowych w ramach outsourcingu funkcji ABI, co obecnie staje się coraz bardziej popularne.

SNP oferuje zarówno outsourcing usług administratora bezpieczeństwa informacji, jaki hosting we własnym SNP Data Centes. Jeśli firma może sama wybrać miejsce składowania danych – rozsądnie jest zdecydować się na miejsce, które możemy dobrze „prześwietlić”, np. podczas audytu. Bez względu na rodzaj świadczonych usług SNP Data Centers gwarantuje wysoki stopień ochrony danych osobowych.

Lepszy Biznes

magazyn klientów SNP

Przejdź do bazy artykułów
Udostępnij
Drukuj:

Nasza oferta

Nasze referencje

Poradniki

Aktualności

Formularz kontaktowy





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Napisz maila lub zadzwoń

E-mail: office.pl@snpgroup.com
Tel. 61 827 7000

SNP Poland Sp. z o.o.

Centrala:
Złotniki, ul. Krzemowa 1
62-002 Suchy Las k. Poznania

Skontaktuj się z nami

W czym możemy pomóc?
Napisz do nas
Wyślij email
Zadzwoń





  1. Dane osobowe przetwarzane są na podstawie art. 6 ust. 1 lit. a Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. – ogólnego rozporządzenia o ochronie danych osobowych.
  2. Administratorem Danych Osobowych jest SNP Poland Sp. z o.o. z siedzibą w Złotnikach, ul. Krzemowa 1 62-002 Suchy Las. Dane kontaktowe do Inspektora Ochrony Danych: dpo.pl@snpgroup.com.
  3. Zgoda na przetwarzanie danych jest dobrowolna, ale niezbędna w celu kontaktu. Zgodę można wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem
  4. Dane będą przetwarzane do realizacji określonych powyżej celów i do momentu wycofania niniejszej zgody, a dostęp do danych będą miały tylko wybrane osoby posiadające stosowne upoważnienie do ich przetwarzania.
  5. Każda osoba podając dane osobowe ma prawo dostępu do treści swoich danych i ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania i przenoszenia danych, prawo do ograniczenia przetwarzania i prawo sprzeciwu wobec przetwarzania danych, prawo do przenoszenia danych.
  6. Każda osoba, której dane są przetwarzane, ma prawo do wniesienia skargi do organu nadzorczego jakim jest Prezes Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa).
  7. Dane osobowe mogą być udostępniane innym jednostkom należącym do grupy kapitałowej, do której należy SNP Poland Sp. z o.o. – również znajdujących się poza Europejskim Obszarem Gospodarczym, w celach marketingowych. SNP Poland zapewnia, że dane przekazywane tym podmiotom są właściwie zabezpieczone, a osoba, której dane są przetwarzane, ma prawo do uzyskania kopii udostępnionych danych oraz informacji o miejscu udostępnienia danych.

Kontakt ogólny do firmy
office.pl@snpgroup.com

Pytania o produkty i usługi
info.pl@snpgroup.com

Pytania na temat pracy i staży
kariera@snpgroup.com

61 827 70 00

Biuro jest czynne
od poniedziałku do piątku
w godz. 8:00 – 17:00