Adempimenti relativi agli Amministratori di sistema - scadenza del 30 Giugno 2009


Administrator - redSGST srl, Studio Bernieri, GFB Studium srl, ARCADE srl

desiderano informare la spettabile clientela che, in vista della scadenza del 30/6/2009, è necessario considerare i seguenti adempimenti:

.

PRIMO CASO (frequente):

Se l’azienda cliente tratta con strumenti informatici unicamente dati non sensibili (oltre a quelli sensibili trattati per finalità di gestione del payroll, malattie, infortuni, adesione a sindacati ecc.) il titolare non è soggetto ad alcun obbligo in relazione agli amministratori di sistema. In questo caso, dunque, non è necessario provvedere ad alcuna nomina, non è necessario modificare le informative, non è necessaria alcuna modifica al DPS.

Ricordiamo che la definizione di dato sensibile si limita ai dati idonei a rilevare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

.

SECONDO CASO (raro):

Se l’azienda cliente effettua trattamenti di dati sensibili con strumenti informatici anche per altre finalità,  differenti da quelle di mera gestione del payroll, trova applicazione il provvedimento del Garante Privacy relativo agli amministratori di sistema che prevede, in sintesi, segue:

Valutazione delle caratteristiche soggettive
L’attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

Designazioni individuali
La designazione quale amministratore di sistema deve essere individuale e recare l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato.

Elenco degli amministratori di sistema
Gli estremi identificativi delle persone fisiche amministratori di sistema, con l’elenco delle funzioni ad essi attribuite, devono essere riportati nel documento programmatico sulla sicurezza. Qualora l’attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l’identità degli amministratori di sistema nell’ambito delle proprie organizzazioni, secondo le caratteristiche dell’azienda o del servizio, in relazione ai diversi servizi informatici cui questi sono preposti. Ciò, avvalendosi dell’informativa resa agli interessati ai sensi dell’art. 13 del Codice nell’ambito del rapporto di lavoro che li lega al titolare

Servizi in outsourcing
Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema.

Verifica delle attività
L’operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un’attività di verifica da parte dei titolari del trattamento, in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti.

Registrazione degli accessi
Devono essere adottati sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi;

..

.

_____________________________________________

Per trasparenza e completezza, desideriamo informare tuttavia che, nell’ambito dei trattamenti in outsourcing o regolati da specifica nomina  quali responsabili esterni del trattamento conferito agli enti sopra citati, è stato nominato Christian Bernieri quale amministratore di sistema, amministratore di rete e amministratore dei database.

Quanto sopra esposto è conforme alle indicazioni fornite da Garante Privacy relative agli obblighi connessi agli amministratori di sistema.

, , , , ,

I commenti sono chiusi.

Il sito della SGST S.r.l. e quello correlato della sua Piattaforma Corsi multimediali (http://www.studiobernieri.com/mo) utilizzano cookies tecnici e di terze parti. Pigiando il pulsante OK o semplicemente proseguendo nella navigazione sul nostro sito si acconsente all'utilizzo dei cookies e si accetta la relativa privacy policy.
Per maggiori informazioni sui cookies utilizzati e sulla privacy policy del sito fare click qui: