Czy odpowiedzialność za ochronę danych osobowych pokrywa się z ochroną przed wirusami i atakami?

[doman18 198]

Historia w skrócie wygląda tak:
1. Przez rok w firmie mieliśmy problemy z wysyłaniem maili na gmail i niektóre adresy
2. Z naszych domen wysyłany był spam
3. Kilka razy pytaliśmy właściciela VPSa który wynajmujemy o to czy serwer jest bezpieczny czy nie było włamania. Za każdym razem dostawaliśmy odpowiedź że nie było włamania a spam nie jest wysyłany z naszego serwera, ktoś się tylko podszywa.
4. Tak czy siak co jakiś czas byliśmy na czarnych listach
5. Ostatnio po kolejnej prośbie interwencji zrobili skan. Nic nie wykrył
6. W końcu ni z tego ni z owego stwierdzili że "po dogłębnej analizie" okazało się że konto admina dostało się w niepowołane ręce i z SMTP wysyłany był spam.
7. Wkurzeni chcieliśmy dokładny raport co było robione ze wskazaniem dlaczego wcześniej nie można było zrobić "dogłębnej analizy"
8. Dostaliśmy odopowiedź że w zasadzie oni są odpowiedzialni tylko za sprzęt, łącze i backupy całości. Natomiast za samą administrację, updaty itp odpowiedzialni jesteśmy my a oni robili to na zasadach "dobrowolnej pomocy dla klienta żeby był zadowolony".

W umowie nie znalazłem żadnych takich zapisów, jest tylko mowa że udostępniają nam serwer z rootem. I jest punkt o ich odpowiedzialności odnośnie danych osobowych.

 

FirmaX dołoży staranności w zastosowaniu środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oświadczając, iż serwery, na których dane osobowe będą przetwarzane i przechowywane spełniają podstawowe warunki techniczne i organizacyjne wymagane przez prawodawstwo niemieckie (serwer jest fizycznie zlokalizowany w Niemczech i tam ma siedzibę firmaX) jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych

Więc czy można powołać się na ten punkt odnośnie tego włamania czy nie?

[erni1996 110]

jeżeli od nich wynajmujecie vps`a i wszystko sami na nim konfigurowaliście to wasza wina, że nie sprawdzaliście logów, nieodpowiednio zabezpieczyliście dostęp do serwera itp.

W tym cytacie raczej jest mowa o waszych danych osobowych typu dane do faktur itp.