Kto monitoruje zabezpieczenia systemu informatycznego

Data: 25-04-2016 r.

Jednym z obowiązków administratora danych osobowych jest monitoring wdrożonych zabezpieczeń systemu informatycznego. Czy powinien sam go realizować, czy może zlecić go administratorowi bezpieczeństwa informacji?

Obowiązek monitorowania wdrożonych zabezpieczeń systemu informatycznego literalnie ciąży na ADO. Jest to jednak jeden z obowiązków administratora bezpieczeństwa informacji, jeżeli takowy został ustanowiony w danej organizacji. Ponieważ prawodawca nie sprecyzował czynności, jakie powinny być podejmowane w ramach monitorowania, należy wyinterpretować je z celu tego monitorowania. Celem jest zaś zapewnienie utrzymania zabezpieczeń systemu informatycznego na poziomie odpowiadającym stopniowi ochrony wymaganemu w przypadku danych przetwarzanych w danej organizacji.

Wdrożone zabezpieczenia powinien monitorować ADO. W praktyce obowiązek ten realizuje ABI. Jednak ewentualne uchybienia w działaniach ABI obciążają finalnie ADO.

Pytanie o to, czy powinien być w to zaangażowany administrator systemu informatycznego czy inna osoba jest pytaniem o wewnętrzne regulacje danej organizacji. Moja odpowiedź brzmi: jak najbardziej, ponieważ ADO/ABI przy wykonywaniu swoich obowiązków może posługiwać się osobami trzecimi.

Ostateczna odpowiedzialność wynikająca z przepisów o ochronie danych osobowych spoczywa jednak na tych dwóch podmiotach. Zapewniając takim „pomocnikom” dostęp do monitoringu należy zwrócić uwagę, czy nie uzyskują oni jednocześnie dostępu do samych danych. Wówczas trzeba te osoby upoważnić do przetwarzania danych osobowych zgodnie z odrębnymi regulacjami.

Przykład

W przedsiębiorstwie X sp. z o.o. ADO wyznacza ABI, a ten do pomocy otrzymuje czterech informatyków. Obowiązek monitorowania zabezpieczeń systemu informatycznego ABI nałożył wewnętrznie na trzech informatyków, z czego dwóch nie może monitorować bez jednoczesnego dostępu do danych osobowych. Trzeba więc tych dwóch informatyków upoważnić do dostępu do przetwarzania danych. Przed ABI odpowiada trzech informatyków w zakresie monitorowania zabezpieczeń, ale to tylko odpowiedzialność wewnętrzna (pracownicza/służbowa). Z obowiązku z rozporządzenia będzie rozliczany ABI, a w konsekwencji także ADO.

Ponieważ prawodawca nie sprecyzował czynności, jakie powinny być podejmowane w ramach monitorowania, należy wyinterpretować je z jego celu. Celem jest zaś zapewnienie utrzymania zabezpieczeń systemu informatycznego na poziomie odpowiadającym stopniowi ochrony danych osobowych.

Chodzi więc o to, czy zabezpieczenia działają, należycie chronią dane osobowe, czy nie zostały one naruszone przez osoby trzecie. Podejmowane czynności powinny więc zapewniać osiągnięcie wskazanych wyżej celów.

Raportowanie z monitorowania powinno być wielopoziomowe. Skoro fizycznie, na samym dole hierarchii „informatycznej”, czynności monitorujących będą dokonywali informatycy, powinni się oni raportować do ABI.

Marcin Sarna, radca prawny

Tagi: ADO, ABI

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

Array ( [docId] => 38910 )
Array ( [docId] => 38910 )

Array ( [docId] => 38910 )