Kiedy warto powołać administratora systemów informatycznych

Autor: Marcin Sarna
Data: 02-02-2017 r.

Przepisy nie regulują wprost instytucji administratora systemów informatycznych (ASI). Taki podmiot jest jednak ustanawiany w wielu firmach czy urzędach. Jego istnienie zostało ugruntowane praktyką, a umocowanie znajduje w regulacjach wewnętrznych danego podmiotu, takich jak polityka bezpieczeństwa czy instrukcja zarządzania systemami informatycznymi.

ASI zajmuje się ochroną danych osobowych w systemach informatycznych, przez co należy rozumieć zarządzanie systemem informatycznym w celu zapewnienia takiego jego działania, które pozwala na zgodne z prawem przetwarzanie danych osobowych. Pod jego władzą pozostaje więc zarówno sprzęt informatyczny, jak i oprogramowanie.

 

Powołanie administratora systemów informatycznych jest wręcz niezbędne, jeżeli administrator danych przetwarza dane w przeważającej części w systemie informatycznym, a już zwłaszcza jeżeli są wśród nich dane wrażliwe.

Przepisy nie regulują wprost instytucji administratora systemów informatycznych. Z tego powodu powstaje problem, na jakiej podstawie prawnej należy działać, powołując ASI. Wybór podstawy prawnej zależy przede wszystkim od tego, jaki rodzaj podmiotu prawa reprezentuje ADO. Podstawą prawną mogą być w:

  • spółce – akty wewnętrzne funkcjonujące w danej spółce (np. dokumentacja dotycząca ochrony danych osobowych, regulamin zarządu, regulamin organizacyjny) albo Kodeks spółek handlowych w zakresie prowadzenia spraw spółki,
  • organie publicznym – konkretny przepis ustrojowy regulujący funkcjonowanie danego organu albo akt wprowadzający do stosowania regulacje z zakresu ochrony danych osobowych (np. uchwała organu stanowiącego samorządu terytorialnego).

Nie będzie także błędem powołanie się w każdym przypadku na art. 36 ust. 1 ustawy o ochronie danych osobowych. Nakazuje on administratorowi danych stosować środki organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną.

Jeżeli administrator zdecyduje się powołać ASI, powinien dokładnie określić jego obowiązki. Trzeba również szczegółowo wskazać kompetencje, jakimi powinien się legitymować ASI. Taka osoba powinna wreszcie być upoważniona do przetwarzania danych osobowych w danym podmiocie. Kompetencje oraz obowiązki powinny korespondować z poziomem ochrony danych, jaki został ustalony przez administratora bezpieczeństwa informacji.

Podstawowym zadaniem ASI jest zarządzanie systemami informatycznymi używanymi do przetwarzania danych osobowych. Obejmuje to np: wykonywanie zadań wynikających z polityki bezpieczeństwa przetwarzania danych osobowych, bieżącą opiekę nad systemami informatycznymi w celu zapewnienia właściwego poziomu ochrony danych osobowych przetwarzanych w tych systemach czy przygotowywanie, monitorowanie stosowania oraz aktualizację procedur operacyjnych i bezpieczeństwa dotyczących systemów informatycznych.

Marcin Sarna, radca prawny, ekspert ds. ochrony danych osobowych

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Array ( [docId] => 39993 )
Array ( [docId] => 39993 )