Administrator systemów informatycznych – kto to taki?
Nie. Administrator systemów informatycznych nie jest organem przewidzianym w przepisach. Obsadzenie takiego stanowiska leży więc w zakresie uznania władz danej firmy.
ASI to wytwór praktyki
Obowiązujące przepisy polskiego i europejskiego prawa nie przewidują instytucji administratora systemów informatycznych. Taki podmiot jest jednak ustanawiany w wielu firmach czy urzędach. Jego istnienie zostało ugruntowane praktyką, a umocowanie znajduje w regulacjach wewnętrznych danego podmiotu, takich jak polityka bezpieczeństwa czy instrukcja zarządzania systemami informatycznymi. Z dokumentów tych wynikają bowiem m.in. zasady współpracy administratora danych osobowych z administratorem bezpieczeństwa informacji i właśnie administratorem systemów informatycznych.
Administrator danych osobowych, niezależnie od tego jakie dane i w jakich ilościach przetwarza, nigdy nie jest zobowiązany do ustanowienia administratora systemów informatycznych. Możliwość powołania ASI jest więc uprawnieniem a nie obowiązkiem ADO.
Warto rozważyć powołanie ASI, jeżeli przetwarzamy dane w systemie informatycznym
Powołanie administratora systemów informatycznych jest może okazać się jednak uzasadnione jeżeli administrator danych osobowych przetwarza dane w przeważającej części w systemie informatycznym a już zwłaszcza jeżeli są wśród nich dane wrażliwe. Wówczas koniecznie należy umocować ASI w systemie aktów wewnętrznych danej organizacji. Oznacza to, że należy uregulować kwestie dotyczące administratora systemów informatycznych np. w regulaminie organizacji pracy, polityce bezpieczeństwa, instrukcji zarządzania systemami informatycznymi czy w schemacie organizacyjnym.
ADO jako ASI
O powołaniu administratora systemów informatycznych decyduje wyłącznie administrator danych osobowych. Nie ma żadnych przeszkód formalnych aby ADO zdecydował iż to inspektor ochrony danych będzie wykonywał funkcje ASI. Jeżeli ADO nie powoła ASI to obowiązki ASI wykonuje sam ADO. W przypadku gdy w danej organizacji został powołany IOD to wówczas obowiązki ASI wykonuje IOD. Funkcje ADO, IOD i ASI może np. pełnić wyłącznie ADO. Można też w dowolny inny sposób rozdzielać te funkcje między poszczególne osoby. Na przykład jedna osoba jest ADO a inna wykonuje kompetencje zarówno IOD jak i ASI.
Więcej niż jeden ASI
Nie ma przy tym przeszkód formalnoprawnych, aby do pełnienia funkcji ASI zostało wyznaczonych kilka osób. W szczególności może to mieć miejsce w sytuacji, gdy wyodrębnienie kilku ASI jest uzasadnione ze względu na okoliczności faktyczne (kilka lokalizacji fizycznych, rozdział systemów informatycznych). Należy jednak pamiętać iż akty prawa wewnętrznego (np. reguły wewnątrzkorporacyjne) mogą nakładać dodatkowe, specyficzne obostrzenia. Przy ustanawianiu kilku ASI należy też koniecznie dokładnie rozdzielić zakres ich kompetencji i obowiązków.
- Inspektor ochrony danych dla urzędu i samorządowych jednostek organizacyjnych
- Transmisja obrad rady gminy – czy konieczna umowa powierzenia przetwarzania
- Dostęp do danych osobowych – konieczna weryfikacja tożsamości wnioskodawcy
- Badania lekarskie strażaków z OSP – kto administratorem danych osobowych
- Umowa podpowierzenia przetwarzania danych w związku z realizacją projektu unijnego
- Opłatomat w placówce medycznej – czy wymaga powierzenia przetwarzania danych osobowych według RODO
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
