Obowiązek monitorowania wdrożonych zabezpieczeń systemu informatycznego literalnie ciąży na ADO. Jest to jednak jeden z obowiązków administratora bezpieczeństwa informacji, jeżeli takowy został ustanowiony w danej organizacji. Ponieważ prawodawca nie sprecyzował czynności, jakie powinny być podejmowane w ramach monitorowania, należy wyinterpretować je z celu tego monitorowania. Celem jest zaś zapewnienie utrzymania zabezpieczeń systemu informatycznego na poziomie odpowiadającym stopniowi ochrony wymaganemu w przypadku danych przetwarzanych w danej organizacji.
Kto monitoruje zabezpieczenia systemu informatycznego
Kategoria: Ochrona danych osobowych
Data: 25-04-2016 r.
Jednym z obowiązków administratora danych osobowych jest monitoring wdrożonych zabezpieczeń systemu informatycznego. Czy powinien sam go realizować, czy może zlecić go administratorowi bezpieczeństwa informacji?
Wdrożone zabezpieczenia powinien monitorować ADO. W praktyce obowiązek ten realizuje ABI. Jednak ewentualne uchybienia w działaniach ABI obciążają finalnie ADO.
Pytanie o to, czy powinien być w to zaangażowany administrator systemu informatycznego czy inna osoba jest pytaniem o wewnętrzne regulacje danej organizacji. Moja odpowiedź brzmi: jak najbardziej, ponieważ ADO/ABI przy wykonywaniu swoich obowiązków może posługiwać się osobami trzecimi.
Ostateczna odpowiedzialność wynikająca z przepisów o ochronie danych osobowych spoczywa jednak na tych dwóch podmiotach. Zapewniając takim „pomocnikom” dostęp do monitoringu należy zwrócić uwagę, czy nie uzyskują oni jednocześnie dostępu do samych danych. Wówczas trzeba te osoby upoważnić do przetwarzania danych osobowych zgodnie z odrębnymi regulacjami.
|
Przykład W przedsiębiorstwie X sp. z o.o. ADO wyznacza ABI, a ten do pomocy otrzymuje czterech informatyków. Obowiązek monitorowania zabezpieczeń systemu informatycznego ABI nałożył wewnętrznie na trzech informatyków, z czego dwóch nie może monitorować bez jednoczesnego dostępu do danych osobowych. Trzeba więc tych dwóch informatyków upoważnić do dostępu do przetwarzania danych. Przed ABI odpowiada trzech informatyków w zakresie monitorowania zabezpieczeń, ale to tylko odpowiedzialność wewnętrzna (pracownicza/służbowa). Z obowiązku z rozporządzenia będzie rozliczany ABI, a w konsekwencji także ADO. |
Ponieważ prawodawca nie sprecyzował czynności, jakie powinny być podejmowane w ramach monitorowania, należy wyinterpretować je z jego celu. Celem jest zaś zapewnienie utrzymania zabezpieczeń systemu informatycznego na poziomie odpowiadającym stopniowi ochrony danych osobowych.
Chodzi więc o to, czy zabezpieczenia działają, należycie chronią dane osobowe, czy nie zostały one naruszone przez osoby trzecie. Podejmowane czynności powinny więc zapewniać osiągnięcie wskazanych wyżej celów.
Raportowanie z monitorowania powinno być wielopoziomowe. Skoro fizycznie, na samym dole hierarchii „informatycznej”, czynności monitorujących będą dokonywali informatycy, powinni się oni raportować do ABI.
Zobacz także:
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
