Nie ma jednoznacznej podstawy prawnej, na którą można się powołać, wyznaczając administratora systemów informatycznych. Funkcja ta jest istotna w organizacji, gdyż umożliwia prawidłowe wypełnianie przesłanki technicznego zabezpieczenia danych osobowych. Wybór, czy administratora systemów informatycznych powołuje administrator danych, czy deleguje to uprawnienie na administratora bezpieczeństwa informacji, zależy od ADO.
Podstawa prawna powołania ASI
Kategoria: Ochrona danych osobowych
Data: 15-02-2016 r.
Funkcja administratora systemów informatycznych nie jest uregulowana w przepisach, dlatego pojawiają się wątpliwości, na jaką podstawę prawną należy powołać się, wyznaczając taką osobę, i kto powinien to zrobić – ADO czy ABI?
Funkcja administratora systemów informatycznych nie wynika wprost z przepisów prawa, ukształtowała się w ramach praktyki. Z reguły administratorem systemów informatycznych jest informatyk, który posiada kompleksową wiedzę na temat systemów informatycznych w danej organizacji.
Jego kompetencje pozwalają na właściwą ochronę danych osobowych przetwarzanych elektroniczne, a tym samym wypełnienie obowiązków ciążących na administratorze danych określonych w rozporządzeniu ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024 ze zm.) oraz art. 36 oraz 39a ustawy o ochronie danych osobowych.
Do zadań administratora systemów informatycznych należy m.in.:
- nadzór nad stosowaniem środków zapewniających bezpieczeństwo przetwarzania danych osobowych w systemach informatycznych, a w szczególności przeciwdziałających dostępowi osób niepowołanych do tych systemów,
- podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń,
- identyfikacja i analiza zagrożeń oraz ocena ryzyka, na które może być narażone przetwarzanie danych osobowych w systemach informatycznych i tradycyjnych,
- sprawowanie nadzoru nad przechowywanymi kopiami zapasowymi,
- inicjowanie i nadzór nad wdrażaniem nowych narzędzi, procedur organizacyjnych oraz sposobów zarządzania systemami informatycznymi, które mają doprowadzić do wzmocnienia bezpieczeństwa przy przetwarzaniu danych osobowych,
- podejmowanie innych czynności w zakresie zabezpieczenia przetwarzania danych w systemach informatycznych.
Na podstawie art. 36 ustawy o ochronie danych osobowych ADO powinien zapewnić odpowiednie środki techniczne oraz organizacyjne gwarantujące bezpieczeństwo przetwarzanych danych osobowych. W związku z tym, wypełniając przesłankę organizacyjną, ADO powołuje administratora systemów informatycznych. W przypadku spółki obowiązek ten wypełnia zarząd jako organ reprezentujący ADO.
Powierzając funkcję ASI w spółce, można powołać się na:
- akty wewnętrzne funkcjonujące w spółce, tj. dokumentację dotyczącą ochrony danych osobowych, regulamin działania zarządu (postanowienia dotyczące reprezentacji spółki),
- ogólne przepisy Kodeksu spółek handlowych dotyczące reprezentacji i prowadzenia spraw spółki – art. 368 § 1 Kodeksu spółek handlowych oraz art. 36 ust. 1 ustawy o ochronie danych osobowych (jako wypełnienie obowiązku organizacyjnego ochrony danych osobowych).
Zobacz także:
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
