Czy w jednej firmie może być dwóch administratorów systemów informatycznych
Nie ma przeszkód formalnoprawnych, aby do pełnienia funkcji administratora systemów informatycznych zostało wyznaczonych kilka osób. W szczególności może to mieć miejsce w sytuacji, gdy wyodrębnienie kilku ASI jest uzasadnione ze względu na okoliczności faktyczne.
Obowiązujące przepisy polskiego prawa nie regulują wprost instytucji administratora systemów informatycznych. Taki podmiot jest jednak ustanawiany w wielu firmach czy urzędach. Jego istnienie zostało ugruntowane praktyką, a umocowanie znajduje w regulacjach wewnętrznych danego podmiotu, takich jak polityka bezpieczeństwa czy instrukcja zarządzania systemami informatycznymi. Z dokumentów tych wynikają bowiem m.in. zasady współpracy administratora danych osobowych z administratorem bezpieczeństwa informacji i właśnie administratorem systemów informatycznych.
Administrator danych osobowych, niezależnie od tego, jakie dane i w jakich ilościach przetwarza, nigdy nie jest zobowiązany do ustanowienia administratora systemów informatycznych. Możliwość powołania ASI jest więc uprawnieniem ADO.
Powołanie administratora systemów informatycznych jest jednak wręcz niezbędne, jeżeli administrator danych osobowych przetwarza dane w przeważającej części w systemie informatycznym, a już zwłaszcza jeżeli są wśród nich dane wrażliwe. Wówczas koniecznie należy umocować ASI w systemie aktów wewnętrznych danej organizacji. Oznacza to, że należy uregulować kwestie dotyczące administratora systemów informatycznych np. w regulaminie organizacji pracy, polityce bezpieczeństwa, instrukcji zarządzania systemami informatycznymi czy w schemacie organizacyjnym.
O powołaniu administratora systemów informatycznych decyduje wyłącznie administrator danych osobowych. Nie ma żadnych przeszkód formalnych, aby ADO zdecydował, iż to ABI będzie wykonywał funkcje ASI. Jeżeli ADO nie powoła ASI, to jego obowiązki wykonuje sam. W przypadku, gdy w danej organizacji istnieje i ADO i ABI wówczas obowiązki ASI wykonuje ABI. Funkcje ADO, ABI i ASI może np. pełnić wyłącznie ADO. Można też w dowolny inny sposób rozdzielać te funkcje między poszczególne osoby. Na przykład jedna osoba jest ADO, a inna wykonuje kompetencje zarówno ABI jak i ASI.
W mojej ocenie nie ma także przeszkód formalnoprawnych, aby do pełnienia funkcji ASI zostało wyznaczonych kilka osób. W szczególności może to mieć miejsce w takiej sytuacji jak opisana w pytaniu, gdzie wyodrębnienie kilku ASI jest uzasadnione ze względu na okoliczności faktyczne (kilka lokalizacji fizycznych, rozdział systemów informatycznych).
Instytucja ASI nie jest wprost uregulowana w przepisach prawa powszechnie obowiązującego i skoro ASI może nie być w ogóle, to można też wyznaczyć kilku ASI, a nawet wyznaczyć im zastępców. Należy jednak pamiętać, że akty prawa wewnętrznego (np. reguły wewnątrzkorporacyjne) mogą nakładać dodatkowe, specyficzne obostrzenia. Przy ustanawianiu kilku ASI należy też koniecznie dokładnie rozdzielić zakres ich kompetencji i obowiązków.
- ustawa z 29 sierpnia 1997 r. ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922).
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
