Kto monitoruje zabezpieczenia systemu informatycznego

Data: 25-04-2016 r.

Jednym z obowiązków administratora danych osobowych jest monitoring wdrożonych zabezpieczeń systemu informatycznego. Czy powinien sam go realizować, czy może zlecić go administratorowi bezpieczeństwa informacji?

Obowiązek monitorowania wdrożonych zabezpieczeń systemu informatycznego literalnie ciąży na ADO. Jest to jednak jeden z obowiązków administratora bezpieczeństwa informacji, jeżeli takowy został ustanowiony w danej organizacji. Ponieważ prawodawca nie sprecyzował czynności, jakie powinny być podejmowane w ramach monitorowania, należy wyinterpretować je z celu tego monitorowania. Celem jest zaś zapewnienie utrzymania zabezpieczeń systemu informatycznego na poziomie odpowiadającym stopniowi ochrony wymaganemu w przypadku danych przetwarzanych w danej organizacji.

Wdrożone zabezpieczenia powinien monitorować ADO. W praktyce obowiązek ten realizuje ABI. Jednak ewentualne uchybienia w działaniach ABI obciążają finalnie ADO.

Pytanie o to, czy powinien być w to zaangażowany administrator systemu informatycznego czy inna osoba jest pytaniem o wewnętrzne regulacje danej organizacji. Moja odpowiedź brzmi: jak najbardziej, ponieważ ADO/ABI przy wykonywaniu swoich obowiązków może posługiwać się osobami trzecimi.

Ostateczna odpowiedzialność wynikająca z przepisów o ochronie danych osobowych spoczywa jednak na tych dwóch podmiotach. Zapewniając takim „pomocnikom” dostęp do monitoringu należy zwrócić uwagę, czy nie uzyskują oni jednocześnie dostępu do samych danych. Wówczas trzeba te osoby upoważnić do przetwarzania danych osobowych zgodnie z odrębnymi regulacjami.

Przykład

W przedsiębiorstwie X sp. z o.o. ADO wyznacza ABI, a ten do pomocy otrzymuje czterech informatyków. Obowiązek monitorowania zabezpieczeń systemu informatycznego ABI nałożył wewnętrznie na trzech informatyków, z czego dwóch nie może monitorować bez jednoczesnego dostępu do danych osobowych. Trzeba więc tych dwóch informatyków upoważnić do dostępu do przetwarzania danych. Przed ABI odpowiada trzech informatyków w zakresie monitorowania zabezpieczeń, ale to tylko odpowiedzialność wewnętrzna (pracownicza/służbowa). Z obowiązku z rozporządzenia będzie rozliczany ABI, a w konsekwencji także ADO.

Ponieważ prawodawca nie sprecyzował czynności, jakie powinny być podejmowane w ramach monitorowania, należy wyinterpretować je z jego celu. Celem jest zaś zapewnienie utrzymania zabezpieczeń systemu informatycznego na poziomie odpowiadającym stopniowi ochrony danych osobowych.

Chodzi więc o to, czy zabezpieczenia działają, należycie chronią dane osobowe, czy nie zostały one naruszone przez osoby trzecie. Podejmowane czynności powinny więc zapewniać osiągnięcie wskazanych wyżej celów.

Raportowanie z monitorowania powinno być wielopoziomowe. Skoro fizycznie, na samym dole hierarchii „informatycznej”, czynności monitorujących będą dokonywali informatycy, powinni się oni raportować do ABI.

Marcin Sarna, radca prawny

Tagi: ADO, ABI

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

  • Kancelaria Prawna Iurisco Edyta Przybyłek

    ul. Zgrzebnioka 28, 40-520 Katowice

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marcin Majcherczyk

    ul. Stawowa 4 lok. 39, 41-200 Sosnowiec

    Wyświetl wizytówkę
  • THE N.E.W.S. LAW CENTER Kancelaria Adwokatów i Radców Prawnych

    ul. Kazachska 1/89, 02-999 Warszawa

    Wyświetl wizytówkę
  • adwokat Wojciech Rudzki - kancelaria adwokacka

    Józefa Piłsudskiego 40/4 Kraków 31 - 111

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Robert Dudkowiak

    ul. Jana Pawła II 11 lok. 5, 62-300 Września

    Wyświetl wizytówkę
  • Kancelaria Adwokacka Adwokata Piotra Sęka

    ul. Narutowicza 44 lok. 20, 90-135 Łódź

    Wyświetl wizytówkę
  • Kancelaria Radców Prawnych ARVE M.Kusztan & R.Ponichtera Sp. K.

    ul. Czysta 4, 50-013 Wrocław

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marek Foryś

    ul. Słupecka 9/1, Gdynia

    Wyświetl wizytówkę
  • Kancelaria MERITUM

    ulica Westerplatte 13/5, 31-033 Kraków

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Radosław Tymiński

    Łukowska 9 Lok. 126, 04-133 Warszawa

    Wyświetl wizytówkę
Array ( [docId] => 38910 )
Array ( [docId] => 38910 )

Array ( [docId] => 38910 )