Czy w jednej firmie może być dwóch administratorów systemów informatycznych

Marcin Sarna

Autor: Marcin Sarna

Dodano:
Czy w jednej firmie może być dwóch administratorów systemów informatycznych
Pytanie:  Firma znajduje się w dwóch lokalizacjach i dwóm pracownikom zostały powierzone w zakresach czynności obowiązki ASI – każdej z osobna na daną lokalizację. W każdej z tych lokalizacji są odmienne systemy i programy służące do przetwarzania danych. Zbiory przetwarzanych danych także są różne w każdej z tych lokalizacji. Czy obowiązki administratora systemu informatycznego można powierzyć w jednej firmie dwóm pracownikom (informatykom)? Czy też musi to być jedna osoba, pełniąca funkcję ASI, posiadająca ewentualnie zastępców?
Odpowiedź: 

Nie ma przeszkód formalnoprawnych, aby do pełnienia funkcji administratora systemów informatycznych zostało wyznaczonych kilka osób. W szczególności może to mieć miejsce w sytuacji, gdy wyodrębnienie kilku ASI jest uzasadnione ze względu na okoliczności faktyczne.

Obowiązujące przepisy polskiego prawa nie regulują wprost instytucji administratora systemów informatycznych. Taki podmiot jest jednak ustanawiany w wielu firmach czy urzędach. Jego istnienie zostało ugruntowane praktyką, a umocowanie znajduje w regulacjach wewnętrznych danego podmiotu, takich jak polityka bezpieczeństwa czy instrukcja zarządzania systemami informatycznymi. Z dokumentów tych wynikają bowiem m.in. zasady współpracy administratora danych osobowych z administratorem bezpieczeństwa informacji i właśnie administratorem systemów informatycznych.

Ważne:

Administrator danych osobowych, niezależnie od tego, jakie dane i w jakich ilościach przetwarza, nigdy nie jest zobowiązany do ustanowienia administratora systemów informatycznych. Możliwość powołania ASI jest więc uprawnieniem ADO.

Powołanie administratora systemów informatycznych jest jednak wręcz niezbędne, jeżeli administrator danych osobowych przetwarza dane w przeważającej części w systemie informatycznym, a już zwłaszcza jeżeli są wśród nich dane wrażliwe. Wówczas koniecznie należy umocować ASI w systemie aktów wewnętrznych danej organizacji. Oznacza to, że należy uregulować kwestie dotyczące administratora systemów informatycznych np. w regulaminie organizacji pracy, polityce bezpieczeństwa, instrukcji zarządzania systemami informatycznymi czy w schemacie organizacyjnym.

O powołaniu administratora systemów informatycznych decyduje wyłącznie administrator danych osobowych. Nie ma żadnych przeszkód formalnych, aby ADO zdecydował, iż to ABI będzie wykonywał funkcje ASI. Jeżeli ADO nie powoła ASI, to jego obowiązki wykonuje sam. W przypadku, gdy w danej organizacji istnieje i ADO i ABI wówczas obowiązki ASI wykonuje ABI. Funkcje ADO, ABI i ASI może np. pełnić wyłącznie ADO. Można też w dowolny inny sposób rozdzielać te funkcje między poszczególne osoby. Na przykład jedna osoba jest ADO, a inna wykonuje kompetencje zarówno ABI jak i ASI.

W mojej ocenie nie ma także przeszkód formalnoprawnych, aby do pełnienia funkcji ASI zostało wyznaczonych kilka osób. W szczególności może to mieć miejsce w takiej sytuacji jak opisana w pytaniu, gdzie wyodrębnienie kilku ASI jest uzasadnione ze względu na okoliczności faktyczne (kilka lokalizacji fizycznych, rozdział systemów informatycznych).

Instytucja ASI nie jest wprost uregulowana w przepisach prawa powszechnie obowiązującego i skoro ASI może nie być w ogóle, to można też wyznaczyć kilku ASI, a nawet wyznaczyć im zastępców. Należy jednak pamiętać, że akty prawa wewnętrznego (np. reguły wewnątrzkorporacyjne) mogą nakładać dodatkowe, specyficzne obostrzenia. Przy ustanawianiu kilku ASI należy też koniecznie dokładnie rozdzielić zakres ich kompetencji i obowiązków.

Marcin Sarna

Autor: Marcin Sarna

radca prawny, ekspert z zakresu ochrony danych osobowych

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl
Strona używa plików cookies. Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies.
wiper-pixel