AMMINISTRATORI DI SISTEMA -
AMMINISTRATORE DI SISTEMA E PRIVACY
Relativamente al provvedimento del 27
novembre 2008 Misure e accorgimenti prescritti ai titolari dei trattamenti
effettuati con strumenti elettronici relativamente alle attribuzioni delle
funzioni di amministratore di sistema, la cui attuazione è stata prorogata
al 30 giugno 2009 e poi al 15 dicembre 2009 (con variazioni al
provvedimento originario), si ricorda che il provvedimento prevede che:
- l'attribuzione delle funzioni di amministratore di sistema debba avvenire
previa valutazione delle caratteristiche di esperienza, capacità e affidabilità
del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto
delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo
relativo alla sicurezza;
- la designazione quale amministratore di sistema deve essere
individuale e
recare l'elencazione analitica degli ambiti di operatività consentiti in base al
profilo di autorizzazione assegnato;
- gli estremi identificativi delle persone fisiche amministratori di sistema,
con l'elenco delle funzioni ad essi attribuite, devono essere riportati nel
documento programmatico sulla sicurezza oppure, nei casi in cui il titolare non
è tenuto a redigerlo, annotati comunque in un documento interno da mantenere
aggiornato e disponibile in caso di accertamenti da parte del Garante.
- qualora l'attività degli amministratori di sistema riguardi anche
indirettamente servizi o sistemi che trattano o che permettono il trattamento di
informazioni di carattere personale dei lavoratori, i titolari pubblici e
privati sono tenuti a rendere nota o conoscibile l'identità degli amministratori
di sistema nell'ambito delle proprie organizzazioni;
- nel caso di servizi di
amministrazione di sistema affidati in outsourcing il titolare deve
solo conservare
direttamente e specificamente, per ogni eventuale evenienza, gli estremi
identificativi delle persone fisiche preposte quali amministratori di sistema
(non è richiesta nomina);
- l'operato degli amministratori di
sistema deve essere oggetto, con cadenza almeno annuale, di un'attività di
verifica da parte dei titolari del trattamento, in modo da controllare la sua
rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i
trattamenti dei dati personali previste dalle norme vigenti;
- devono essere adottati sistemi idonei alla
registrazione degli accessi logici
(autenticazione informatica) ai sistemi di elaborazione e agli archivi
elettronici da parte degli amministratori di sistema. Le registrazioni (access
log) devono avere caratteristiche di completezza, inalterabilità e possibilità
di verifica della loro integrità adeguate al raggiungimento dello scopo per cui
sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la
descrizione dell'evento che le ha generate e devono essere conservate per un
congruo periodo, non inferiore a sei mesi.
Molto spesso l'amministratore non deve
essere nominato. I manutentori tecnici non sono amministratori. Risparmiate
tempo, consultateci.
C
hiedi
a noi
Verifica
se sei in
regola con la privacy! Gratis Comprendi quanto devi fare.
Questionario con risposta personale di un consulente.
Risposta
entro 24 ore