Powołanie Administratora Systemów Informatycznych jest uprawnieniem, a nie obowiązkiem…

O Administratorze Systemów Informatycznych najczęściej było słychać w czasach obowiązywania poprzedniej Ustawy o Ochronie Danych Osobowych (tej z 1997 r.). Wtedy wspominało się, że to osoba wspierająca administratorów danych osobowych (dalej też AD lub Administrator Danych) w procesach bezpiecznego przetwarzania danych w systemach informatycznych. Aktualnie obowiązujące przepisy o ochronie danych osobowych nie odnoszą się wprost do funkcji Administratora Systemów Informatycznych (dalej też ASI). Nie można jednak nie zauważyć, że zdarza się naszych przepisach krajowych odniesienie do zadań ASI. Przykładowo, w ustawie o systemie powiadamiania ratunkowego czy ustawie o systemie informacji w ochronie zdrowia znajdziemy przepisy o zadaniach Administratora Systemów Informatycznych. Na gruncie przepisów dotyczących ochrony danych osobowych nie mamy obowiązku powoływania osoby na stanowisko ASI, ale też nikt nam tego nie zabroni zrobić, a powołanie takiej osoby stanowi dobrą praktykę, która pozwala administratorom danych skuteczniej zarządzać systemami informatycznymi.

Właściwe zarządzanie systemami informatycznymi wykorzystywanymi do przetwarzania danych osobowych…

Jednym z głównych celów administratora danych osobowych jest zapewnienie bezpieczeństwa danych osobowych. Z tym zgodzi się każdy. Pamiętajmy, że we współczesnym świecie coraz częściej przetwarzamy dane osobowe z wykorzystaniem systemów informatycznych. Kto jak nie informatyk czy kierownik działu IT zna się najlepiej na bezpieczeństwie systemów informatycznych w organizacji. To te osoby szkolą się w tym kierunku. Po co więc Administrator Danych ma się zastanawiać jak spełnić wymagania stawiane przez Ogólne Rozporządzenie o Ochronie Danych Osobowych (dalej też RODO) skoro może zapewnić sobie wsparcie fachowca w osobie Administratora Systemów Informatycznych, który współpracując z Administratorem Danych – a najlepiej także z wyznaczonym przez niego Inspektorem Ochrony Danych (lub specjalistą z tego obszaru), zapewnia gwarancję odpowiedniego zabezpieczenia systemów IT. To właśnie ASI potrafi prawidłowo zarządzać systemami informatycznymi, również tymi wykorzystywanymi do przetwarzania danych osobowych. Dobry Administrator Systemów Informatycznych wspiera organizację w bezpieczeństwie danych osobowych w obszarach m.in.:

• zabezpieczeń teleinformatycznych;
• identyfikacji potencjalnych zagrożeń i podatności dla systemów informatycznych;
• wykrywaniu nieautoryzowanego dostępu do systemu;
• administrowaniu serwerami służącymi przetwarzaniu danych;
• zachowanie ciągłości funkcjonowania systemów służących przetwarzaniu danych osobowych;
• poprawnym konfigurowaniu kont użytkowników.

Administrator Systemów Informatycznych silnym wsparciem dla administratora danych osobowych…

Na gruncie RODO administrator danych osobowych przetwarza dane poprzez m.in. ich gromadzenie i wykorzystywanie danych osobowych. Skoro je przetwarza to ma obowiązek zapewnienia im bezpieczeństwa za pomocą właściwych środków organizacyjnych i technicznych (art. 32 RODO). Środki te są w razie potrzeby poddawane przeglądom i uaktualniane (art. 24 RODO). W związku z koniecznością zapewnienia właściwych środków bezpieczeństwa, to o ile w zakresie doboru środków organizacyjnych nieocenionym wsparciem będzie inspektor ochrony danych (lub specjalista ochrony danych), o tyle dobór środków technicznych wymaga dodatkowych predyspozycji, w tym wiedzy i doświadczenia w zarządzeniu bezpieczeństwem systemami IT, którą zapewnić może ASI.  Pamiętajmy, że zgodnie z art. 82 RODO administrator danych może zostać zobowiązany do zapłaty odszkodowania za szkodę poniesioną przez osobę fizyczną wskutek złego przetwarzania jej danych. Nie trzeba też z pewnością przypominać o możliwości ukarania administratora za nieprawidłowe przetwarzanie danych administracyjną karą pieniężną przez Prezesa UODO. Nikt nie chce płacić kar nakładanych przez Prezesa Urzędu Ochrony Danych Osobowych, a tym bardziej odszkodowań. Warto więc przemyśleć temat i poza osobą znającą się na ochronie danych osobowych (np. IOD) wyznaczyć w swojej organizacji Administratora Systemów Informatycznych. Zakres obowiązków ASI można uregulować w sferze wewnętrznej danej organizacji. Wewnętrznej, czyli np. w ramach wdrożonego Systemu Ochrony Danych Osobowych.

Inspektor Ochrony Danych i Administrator Systemów Informatycznych w jednej osobie…

Niektóre organizacje, szczególnie te publiczne w ramach postępowań przetargowych chcą łączyć funkcję IOD-a z funkcją Administratora Systemów Informatycznych. Nie dość, że takie podejście jest niebezpieczne dla organizacji, to może ono jednocześnie być niezgodne z wymaganiami RODO. Ze stanowiska Urzędu Ochrony Danych Osobowych w tym temacie jasno wynika, że UODO nie zaleca takich powiązań. IOD nie może podlegać jakimkolwiek innym osobom niż najwyższe kierownictwo (art. 38 ust. 3 RODO), co ma mu gwarantować niezależne, prawidłowe i skuteczne wykonywanie funkcji. Administrator Systemów Informatycznych będący często, jak pisaliśmy, informatykiem, przez to może podlegać nadzorowi i poleceniom różnych osób. Dodatkowo ASI odpowiada za bieżące przetwarzanie danych osobowych w systemach informatycznych oraz ich bezpieczeństwo. Sprawując także funkcję IOD-a sprawowałby jednocześnie nadzór nad samym sobą co stoi w sprzeczności. Idąc za opinią UODO z tej perspektywy konsolidacja funkcji IOD z funkcją ASI może powodować zagrożenia dla bezpieczeństwa przetwarzania danych osobowych. Sytuacja taka powoduje zatem faktyczny brak nadzoru nad zgodnością przetwarzania danych z przepisami prawa, w tym przepisami określającymi wymogi co do bezpieczeństwa danych osobowych.

Kompetencje i cechy charakteru ważne przy wyborze Administratora Systemów Informatycznych…

Poszukując rozwiązań na gruncie zgodności z przepisami o ochronie danych osobowych, przed administratorami stoi wiele wyzwań. Artykuł wskazuje, że nie tylko potrzebujemy specjalisty ds. ochrony danych osobowych (czy IOD-a), ale również Administratora Systemów Informatycznych. Przy dokonywaniu wyborów osoby na stanowisko ASI warto kierować się nie tylko poziomem wykształcenia, czy doświadczeniem danej osoby w pracy w danej branży. Dlaczego, bo pamiętajmy, że nasz ASI będzie pracować również z naszymi pracownikami. Musi tu być „chemia”, bo bez niej i najzdolniejszy Administrator Systemów Informatycznych może nie dać rady wdrożyć wszystkich zabezpieczeń. Warto zatem brać pod uwagę jego interpersonalne kompetencje oraz cechy charakteru. Istotne będą również analityczne podejście do rozwiązywania problemów, umiejętność czytania skryptów w języku angielskim czy zdolność do pracy pod presją czasu. Co ważne, Administratora Systemów informatycznych możemy wybrać w formie outsourcingu , co pozwoli nam na znalezienie takiej właśnie osoby. Według podejścia Inspektorzy ODO dobry ASI, oprócz oczekiwanych kompetencji, powinien wykazać się również umiejętnością opisania problemu i wyjaśnienia rozwiązania w zrozumiały sposób. Kluczowe jest zachowanie etyki związanej z poufnością danych i to właśnie gwarantujemy.