LexDigital

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Administrator systemów informatycznych. Rola w systemie

Administrator Systemu Informatycznego – informacje ogólne

Administratorem Systemów Informatycznych jest, jak sama nazwa mówi, osoba zobowiązana do zarządzania systemami informatycznymi wykorzystywanymi do przetwarzania danych osobowych. Jej podstawowym zadaniem jest bieżąca współpraca z Administratorem Bezpieczeństwa Informacji (w przyszłości: z Inspektorem Ochrony Danych) mająca na celu ochronę przetwarzanych przez firmę danych osobowych w zakresie zabezpieczeń teleinformatycznych. Szczegółowe kompetencje oraz obowiązki ASI powinny każdorazowo zostać określone w umowie łączącej go z przedsiębiorstwem.

Administrator Systemu Informatycznego na gruncie innych przepisów

Pomimo braku regulacji funkcji i roli Administrator Systemu Informatycznego w przepisach o ochronie danych osobowych, istnieją inne akty prawne, które nakładają na Administratora Systemu Informatycznego określone obowiązki. Przykładem może być ustawa z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego, zgodnie z którą ASI jest obowiązany zapewnić aby system teleinformatyczny był wyposażony w mechanizm zapewniający zachowanie ciągłości jego funkcjonowania, a także zawierał rozwiązania techniczne przeznaczone do szkolenia operatorów numerów alarmowych.

Kiedy istnieje obowiązek powołania Administrator Systemu Informatycznego?

Powołanie Administratora Systemów Informatycznych jest uprawnieniem, a nie obowiązkiem Administratora Danych Osobowych. W związku z tym niezatrudnianie takiej osoby co do zasady nie powinno powodować żadnych negatywnych konsekwencji dla ADO, a zwłaszcza ryzyka nałożenia na niego administracyjnej kary pieniężnej. Jednocześnie jednak należy pamiętać o tym, że zgodnie z RODO Administrator Danych Osobowych jest zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych odbywało się zgodnie z przepisami i aby mógł to wykazać. Dlatego też w niektórych sytuacjach powołanie Administrator Systemu Informatycznego może okazać się niezbędne do odpowiedniego zabezpieczenia danych osobowych. Warto zaznaczyć, że Administrator Systemu nie musi być koniecznie pracownikiem ADO. Możliwe jest nawiązanie współpracy z osobą pełniącą taką funkcję również na podstawie innych umów, np. zlecenia.

IT, bezpieczeństwo informacji, administrator systemu informatycznego

Kto może zostać Administrator Systemu Informatycznego?

Z uwagi na brak uregulowania statusu prawnego Administratora Systemów Informatycznych, nie jest możliwym ustalenie zamkniętego katalogu kwalifikacji osoby zamierzającej pełnić funkcję Administratora Systemu. Dlatego też to ADO może samodzielnie ustalić, jakich kompetencji oczekuje od kandydatów. Zazwyczaj najistotniejszy jest warunek posiadania wykształcenia technicznego, w szczególności informatycznego oraz kilkuletniego doświadczenia w utrzymaniu i administracji określonych systemów informatycznych.

Czasami niezbędna okazuje się być znajomość zagadnień sieciowych, jak również systemów monitoringu oraz zdolność diagnostyki problemów wydajnościowych systemów operacyjnych i baz danych. Niezbędna wydaje się również znajomość języka angielskiego. Wszystko to ma służyć jak najlepszej współpracy Administratora Systemu Informatycznego z Inspektorem Ochrony Danych mającej na celu zapewnienie odpowiedniej ochrony przetwarzanym danym osobowym pod kątem wykorzystywanych w danej firmie systemów informatycznych.

Obowiązki Administratora Systemu Informatycznego

Zazwyczaj jednym z głównych obowiązków Administratora Systemów Informatycznych jest zapewnienie bezpieczeństwa danych osobowych w systemach informatycznych. Wszelkie inne, konkretne zadania administratora systemu powinny wynikać bezpośrednio z zawartej z nim umowy. Generalnie jest on zobowiązywany przykładowo do bezpośredniego (ewentualnie zdalnego) wsparcia technicznego użytkowników w zakresie utrzymania i rozwoju infrastruktury systemowej, instalacji i konfiguracji sprzętu komputerowego, konfiguracji sieci, zarządzania uprawnieniami, dostępami i kontami, zarządzania aktualizacjami systemów i aplikacji, identyfikowania zagrożeń ciągłości pracy oraz przeciwdziałania awariom, współpracy z dostawcami usług serwisowych i wsparcia technicznego, czy też dokumentowania konfiguracji systemów oraz jej zmian.

Administrator IT

Warto również podkreślić, że w niektórych podmiotach zamiast Administratora Systemów Informatycznych powoływani są Administratorzy IT. Pomiędzy tymi stanowiskami brak jest jednak znaczących różnic, ponieważ Administrator IT również jest zobowiązany do sprawowania pieczy nad systemami informatycznymi, zabezpieczania danych elektronicznych, zarządzania dostępem do danych i bieżącego wsparcia technicznego.

Upoważnienie do przetwarzania danych osobowych

Pomimo tego, że Administratorzy Systemów Informatycznych są powoływani dla zapewnienia ochrony przetwarzanym danym osobowym, Administratorzy Danych Osobowych nie powinni zapominać o nadaniu im upoważnień do przetwarzania danych osobowych. Upoważnienie takie powinno zostać sporządzone na piśmie, ale nie musi stanowić odrębnego dokumentu (może zostać włączone w treść umowy zawartej z Administratorem systemu). Na gruncie RODO istotne jest wskazanie, że przetwarzanie danych może nastąpić tylko na polecenie ADO, jak również zobowiązanie do zachowania danych osobowych w tajemnicy, w tym również po zakończeniu pracy/stosunku zlecenia w danej firmie.

Jeśli natomiast umowa o świadczenie usług przez Administratora Systemu została zawarta ze spółką, wówczas niezbędne może być zawarcie umowy powierzenia przetwarzania danych, spełniającą kryteria przewidziane przez RODO. Umowa taka powinna zostać zawarta na piśmie, a w jej treści trzeba określić przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora.

Ponadto, w treści umowy należy zastrzec, że m.in. procesor (firma outsourcingowa, z której pochodzić będzie Administrator Systemu IT) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora;  zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;  biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomagała administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą;  po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usunęła lub zwróciła mu wszelkie dane osobowe oraz usunęła wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

Zabezpieczenie danych osobowych

W konkluzji należy stwierdzić, że Administrator Systemów Informatycznych pełni istotną funkcję dla zapewnienia ochrony przetwarzanym danym osobowym przed naruszeniami. Podkreślić trzeba, że w RODO wskazano wyraźnie, że ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności:

  • jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną;
  • jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;
  • jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa;
  • jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się - w celu tworzenia lub wykorzystywania profili osobistych;
  • jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci;
  • jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

Wszystkie te ryzyka mogą wiązać się bezpośrednio z przetwarzaniem danych w systemach informatycznych. Stąd też konieczne  staje się zapewnienie, by systemy te były możliwie najlepiej zabezpieczone, a dostęp do nich ograniczony. Zadania te najlepiej mogą być wykonane przez specjalistę - informatyka, stąd też tak istotna rola ASI w systemie ochrony danych osobowych.


Sprawdź również:



Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk