LexDigital

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Administrator systemów informatycznych. Rola w systemie

Administrator Systemu Informatycznego – informacje ogólne

Administratorem Systemów Informatycznych jest, jak sama nazwa mówi, osoba zobowiązana do zarządzania systemami informatycznymi wykorzystywanymi do przetwarzania danych osobowych. Jej podstawowym zadaniem jest bieżąca współpraca z Administratorem Bezpieczeństwa Informacji (w przyszłości: z Inspektorem Ochrony Danych) mająca na celu ochronę przetwarzanych przez firmę danych osobowych w zakresie zabezpieczeń teleinformatycznych. Szczegółowe kompetencje oraz obowiązki ASI powinny każdorazowo zostać określone w umowie łączącej go z przedsiębiorstwem.

Administrator Systemu Informatycznego na gruncie innych przepisów

Pomimo braku regulacji funkcji i roli Administrator Systemu Informatycznego w przepisach o ochronie danych osobowych, istnieją inne akty prawne, które nakładają na Administratora Systemu Informatycznego określone obowiązki. Przykładem może być ustawa z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego, zgodnie z którą ASI jest obowiązany zapewnić aby system teleinformatyczny był wyposażony w mechanizm zapewniający zachowanie ciągłości jego funkcjonowania, a także zawierał rozwiązania techniczne przeznaczone do szkolenia operatorów numerów alarmowych.

Kiedy istnieje obowiązek powołania Administrator Systemu Informatycznego?

Powołanie Administratora Systemów Informatycznych jest uprawnieniem, a nie obowiązkiem Administratora Danych Osobowych. W związku z tym niezatrudnianie takiej osoby co do zasady nie powinno powodować żadnych negatywnych konsekwencji dla ADO, a zwłaszcza ryzyka nałożenia na niego administracyjnej kary pieniężnej. Jednocześnie jednak należy pamiętać o tym, że zgodnie z RODO Administrator Danych Osobowych jest zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych odbywało się zgodnie z przepisami i aby mógł to wykazać. Dlatego też w niektórych sytuacjach powołanie Administrator Systemu Informatycznego może okazać się niezbędne do odpowiedniego zabezpieczenia danych osobowych. Warto zaznaczyć, że Administrator Systemu nie musi być koniecznie pracownikiem ADO. Możliwe jest nawiązanie współpracy z osobą pełniącą taką funkcję również na podstawie innych umów, np. zlecenia.

Kto może zostać Administrator Systemu Informatycznego?

Z uwagi na brak uregulowania statusu prawnego Administratora Systemów Informatycznych, nie jest możliwym ustalenie zamkniętego katalogu kwalifikacji osoby zamierzającej pełnić funkcję Administratora Systemu. Dlatego też to ADO może samodzielnie ustalić, jakich kompetencji oczekuje od kandydatów. Zazwyczaj najistotniejszy jest warunek posiadania wykształcenia technicznego, w szczególności informatycznego oraz kilkuletniego doświadczenia w utrzymaniu i administracji określonych systemów informatycznych.

Czasami niezbędna okazuje się być znajomość zagadnień sieciowych, jak również systemów monitoringu oraz zdolność diagnostyki problemów wydajnościowych systemów operacyjnych i baz danych. Niezbędna wydaje się również znajomość języka angielskiego. Wszystko to ma służyć jak najlepszej współpracy Administratora Systemu Informatycznego z Inspektorem Ochrony Danych mającej na celu zapewnienie odpowiedniej ochrony przetwarzanym danym osobowym pod kątem wykorzystywanych w danej firmie systemów informatycznych.

Obowiązki Administratora Systemu Informatycznego

Zazwyczaj jednym z głównych obowiązków Administratora Systemów Informatycznych jest zapewnienie bezpieczeństwa danych osobowych w systemach informatycznych. Wszelkie inne, konkretne zadania administratora systemu powinny wynikać bezpośrednio z zawartej z nim umowy. Generalnie jest on zobowiązywany przykładowo do bezpośredniego (ewentualnie zdalnego) wsparcia technicznego użytkowników w zakresie utrzymania i rozwoju infrastruktury systemowej, instalacji i konfiguracji sprzętu komputerowego, konfiguracji sieci, zarządzania uprawnieniami, dostępami i kontami, zarządzania aktualizacjami systemów i aplikacji, identyfikowania zagrożeń ciągłości pracy oraz przeciwdziałania awariom, współpracy z dostawcami usług serwisowych i wsparcia technicznego, czy też dokumentowania konfiguracji systemów oraz jej zmian.

Administrator IT

Warto również podkreślić, że w niektórych podmiotach zamiast Administratora Systemów Informatycznych powoływani są Administratorzy IT. Pomiędzy tymi stanowiskami brak jest jednak znaczących różnic, ponieważ Administrator IT również jest zobowiązany do sprawowania pieczy nad systemami informatycznymi, zabezpieczania danych elektronicznych, zarządzania dostępem do danych i bieżącego wsparcia technicznego.

Upoważnienie do przetwarzania danych osobowych

Pomimo tego, że Administratorzy Systemów Informatycznych są powoływani dla zapewnienia ochrony przetwarzanym danym osobowym, Administratorzy Danych Osobowych nie powinni zapominać o nadaniu im upoważnień do przetwarzania danych osobowych. Upoważnienie takie powinno zostać sporządzone na piśmie, ale nie musi stanowić odrębnego dokumentu (może zostać włączone w treść umowy zawartej z Administratorem systemu). Na gruncie RODO istotne jest wskazanie, że przetwarzanie danych może nastąpić tylko na polecenie ADO, jak również zobowiązanie do zachowania danych osobowych w tajemnicy, w tym również po zakończeniu pracy/stosunku zlecenia w danej firmie.

Jeśli natomiast umowa o świadczenie usług przez Administratora Systemu została zawarta ze spółką, wówczas niezbędne może być zawarcie umowy powierzenia przetwarzania danych, spełniającą kryteria przewidziane przez RODO. Umowa taka powinna zostać zawarta na piśmie, a w jej treści trzeba określić przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora.

Ponadto, w treści umowy należy zastrzec, że m.in. procesor (firma outsourcingowa, z której pochodzić będzie Administrator Systemu IT) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora;  zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;  biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomagała administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą;  po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usunęła lub zwróciła mu wszelkie dane osobowe oraz usunęła wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

Zabezpieczenie danych osobowych

W konkluzji należy stwierdzić, że Administrator Systemów Informatycznych pełni istotną funkcję dla zapewnienia ochrony przetwarzanym danym osobowym przed naruszeniami. Podkreślić trzeba, że w RODO wskazano wyraźnie, że ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności:

  • jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną;
  • jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;
  • jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa;
  • jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się - w celu tworzenia lub wykorzystywania profili osobistych;
  • jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci;
  • jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

Wszystkie te ryzyka mogą wiązać się bezpośrednio z przetwarzaniem danych w systemach informatycznych. Stąd też konieczne  staje się zapewnienie, by systemy te były możliwie najlepiej zabezpieczone, a dostęp do nich ograniczony. Zadania te najlepiej mogą być wykonane przez specjalistę - informatyka, stąd też tak istotna rola ASI w systemie ochrony danych osobowych.


Sprawdź również:



Polecane

Audyt RODO

Audyt RODO

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO

Szkolenie RODO

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Popularne

Audyt RODO

Audyt RODO

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO

Szkolenie RODO

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineJULAFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.