LexDigital

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Administrator systemów informatycznych. Rola w systemie

Administrator Systemu Informatycznego – informacje ogólne

Administratorem Systemów Informatycznych jest, jak sama nazwa mówi, osoba zobowiązana do zarządzania systemami informatycznymi wykorzystywanymi do przetwarzania danych osobowych. Jej podstawowym zadaniem jest bieżąca współpraca z Administratorem Bezpieczeństwa Informacji (w przyszłości: z Inspektorem Ochrony Danych) mająca na celu ochronę przetwarzanych przez firmę danych osobowych w zakresie zabezpieczeń teleinformatycznych. Szczegółowe kompetencje oraz obowiązki ASI powinny każdorazowo zostać określone w umowie łączącej go z przedsiębiorstwem.

Administrator Systemu Informatycznego na gruncie innych przepisów

Pomimo braku regulacji funkcji i roli Administrator Systemu Informatycznego w przepisach o ochronie danych osobowych, istnieją inne akty prawne, które nakładają na Administratora Systemu Informatycznego określone obowiązki. Przykładem może być ustawa z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego, zgodnie z którą ASI jest obowiązany zapewnić aby system teleinformatyczny był wyposażony w mechanizm zapewniający zachowanie ciągłości jego funkcjonowania, a także zawierał rozwiązania techniczne przeznaczone do szkolenia operatorów numerów alarmowych.

Kiedy istnieje obowiązek powołania Administrator Systemu Informatycznego?

Powołanie Administratora Systemów Informatycznych jest uprawnieniem, a nie obowiązkiem Administratora Danych Osobowych. W związku z tym niezatrudnianie takiej osoby co do zasady nie powinno powodować żadnych negatywnych konsekwencji dla ADO, a zwłaszcza ryzyka nałożenia na niego administracyjnej kary pieniężnej. Jednocześnie jednak należy pamiętać o tym, że zgodnie z RODO Administrator Danych Osobowych jest zobowiązany wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych odbywało się zgodnie z przepisami i aby mógł to wykazać. Dlatego też w niektórych sytuacjach powołanie Administrator Systemu Informatycznego może okazać się niezbędne do odpowiedniego zabezpieczenia danych osobowych. Warto zaznaczyć, że Administrator Systemu nie musi być koniecznie pracownikiem ADO. Możliwe jest nawiązanie współpracy z osobą pełniącą taką funkcję również na podstawie innych umów, np. zlecenia.

Kto może zostać Administrator Systemu Informatycznego?

Z uwagi na brak uregulowania statusu prawnego Administratora Systemów Informatycznych, nie jest możliwym ustalenie zamkniętego katalogu kwalifikacji osoby zamierzającej pełnić funkcję Administratora Systemu. Dlatego też to ADO może samodzielnie ustalić, jakich kompetencji oczekuje od kandydatów. Zazwyczaj najistotniejszy jest warunek posiadania wykształcenia technicznego, w szczególności informatycznego oraz kilkuletniego doświadczenia w utrzymaniu i administracji określonych systemów informatycznych.

Czasami niezbędna okazuje się być znajomość zagadnień sieciowych, jak również systemów monitoringu oraz zdolność diagnostyki problemów wydajnościowych systemów operacyjnych i baz danych. Niezbędna wydaje się również znajomość języka angielskiego. Wszystko to ma służyć jak najlepszej współpracy Administratora Systemu Informatycznego z Inspektorem Ochrony Danych mającej na celu zapewnienie odpowiedniej ochrony przetwarzanym danym osobowym pod kątem wykorzystywanych w danej firmie systemów informatycznych.

Obowiązki Administratora Systemu Informatycznego

Zazwyczaj jednym z głównych obowiązków Administratora Systemów Informatycznych jest zapewnienie bezpieczeństwa danych osobowych w systemach informatycznych. Wszelkie inne, konkretne zadania administratora systemu powinny wynikać bezpośrednio z zawartej z nim umowy. Generalnie jest on zobowiązywany przykładowo do bezpośredniego (ewentualnie zdalnego) wsparcia technicznego użytkowników w zakresie utrzymania i rozwoju infrastruktury systemowej, instalacji i konfiguracji sprzętu komputerowego, konfiguracji sieci, zarządzania uprawnieniami, dostępami i kontami, zarządzania aktualizacjami systemów i aplikacji, identyfikowania zagrożeń ciągłości pracy oraz przeciwdziałania awariom, współpracy z dostawcami usług serwisowych i wsparcia technicznego, czy też dokumentowania konfiguracji systemów oraz jej zmian.

Administrator IT

Warto również podkreślić, że w niektórych podmiotach zamiast Administratora Systemów Informatycznych powoływani są Administratorzy IT. Pomiędzy tymi stanowiskami brak jest jednak znaczących różnic, ponieważ Administrator IT również jest zobowiązany do sprawowania pieczy nad systemami informatycznymi, zabezpieczania danych elektronicznych, zarządzania dostępem do danych i bieżącego wsparcia technicznego.

Upoważnienie do przetwarzania danych osobowych

Pomimo tego, że Administratorzy Systemów Informatycznych są powoływani dla zapewnienia ochrony przetwarzanym danym osobowym, Administratorzy Danych Osobowych nie powinni zapominać o nadaniu im upoważnień do przetwarzania danych osobowych. Upoważnienie takie powinno zostać sporządzone na piśmie, ale nie musi stanowić odrębnego dokumentu (może zostać włączone w treść umowy zawartej z Administratorem systemu). Na gruncie RODO istotne jest wskazanie, że przetwarzanie danych może nastąpić tylko na polecenie ADO, jak również zobowiązanie do zachowania danych osobowych w tajemnicy, w tym również po zakończeniu pracy/stosunku zlecenia w danej firmie.

Jeśli natomiast umowa o świadczenie usług przez Administratora Systemu została zawarta ze spółką, wówczas niezbędne może być zawarcie umowy powierzenia przetwarzania danych, spełniającą kryteria przewidziane przez RODO. Umowa taka powinna zostać zawarta na piśmie, a w jej treści trzeba określić przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora.

Ponadto, w treści umowy należy zastrzec, że m.in. procesor (firma outsourcingowa, z której pochodzić będzie Administrator Systemu IT) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora;  zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;  biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomagała administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą;  po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usunęła lub zwróciła mu wszelkie dane osobowe oraz usunęła wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

Zabezpieczenie danych osobowych

W konkluzji należy stwierdzić, że Administrator Systemów Informatycznych pełni istotną funkcję dla zapewnienia ochrony przetwarzanym danym osobowym przed naruszeniami. Podkreślić trzeba, że w RODO wskazano wyraźnie, że ryzyko naruszenia praw lub wolności osób, o różnym prawdopodobieństwie i wadze zagrożeń, może wynikać z przetwarzania danych osobowych mogącego prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych, w szczególności:

  • jeżeli przetwarzanie może poskutkować dyskryminacją, kradzieżą tożsamości lub oszustwem dotyczącym tożsamości, stratą finansową, naruszeniem dobrego imienia, naruszeniem poufności danych osobowych chronionych tajemnicą zawodową, nieuprawnionym odwróceniem pseudonimizacji lub wszelką inną znaczną szkodą gospodarczą lub społeczną;
  • jeżeli osoby, których dane dotyczą, mogą zostać pozbawione przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;
  • jeżeli przetwarzane są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, wyznanie lub przekonania światopoglądowe, lub przynależność do związków zawodowych oraz jeżeli przetwarzane są dane genetyczne, dane dotyczące zdrowia lub dane dotyczące seksualności lub wyroków skazujących i naruszeń prawa lub związanych z tym środków bezpieczeństwa;
  • jeżeli oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się - w celu tworzenia lub wykorzystywania profili osobistych;
  • jeżeli przetwarzane są dane osobowe osób wymagających szczególnej opieki, w szczególności dzieci;
  • jeżeli przetwarzanie dotyczy dużej ilości danych osobowych i wpływa na dużą liczbę osób, których dane dotyczą.

Wszystkie te ryzyka mogą wiązać się bezpośrednio z przetwarzaniem danych w systemach informatycznych. Stąd też konieczne  staje się zapewnienie, by systemy te były możliwie najlepiej zabezpieczone, a dostęp do nich ograniczony. Zadania te najlepiej mogą być wykonane przez specjalistę - informatyka, stąd też tak istotna rola ASI w systemie ochrony danych osobowych.


Sprawdź również:



Polecane

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował Privacy Shield - zmiany w transferze danych do USA

TSUE zablokował „Privacy Shield” („Tarczę prywatności”). Powodem jest zbyt łatwy dostęp amerykańskich służb tj. amerykańskiej Agencji Bezpieczeństwa Narodowego do danych Europejczyków. Co więcej, odbywa się to bez kontroli sądowej, a obywatele UE nie mają w praktycznie żadnej możliwości podważenia decyzji o wglądzie do informacji na ich temat.

Popularne

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie – dostosowanie organizacji do określonych wytycznych

Wdrożenie zasad to jeden z najważniejszych, ale i najtrudniejszych etapów koniecznych do przeprowadzenia na drodze do uzyskania zgodności z wybranymi standardami czy przepisami prawa. Ustanowione zasady musząbyćdostosowane do specyfiki organizacji, a ich wprowadzanie powinno być odpowiednio zaplanowane i musi uwzględniać wiele aspektów począwszy od ustalenia niezbędnych zasobów, a kończąc na zbudowaniu świadomości pracowników.

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Konsultacje i wsparcie merytoryczne zespołu specjalistów

Każdywdrożony system jest żywy i ewoluuje wraz z rozwojem przedsiębiorstwa, wprowadzaniem kolejnych zmian w procesach czy wykorzystywanych narzędziach. Zmianom ulegająrównież wytyczne w stosunku do których wprowadzane były zmiany. Bardzo często pewne sytuacje osobom na co dzień nie zajmującymsiętematyką ochrony danych czy szeroko rozumianego bezpieczeństwa informacji sprawiają trudności, w szczególności,że wiele przepisów jest bardzo ogólnych, trudnych

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

Biofarm Fibar Group Apart Wykop.pl PhytoPharm Veolia Cuf-podatki Netguru GetHero Tesgas GPD Agency Golden Submarine Pixers Pearson UEP

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.